Доступ к файлам cookie Facebook в браузере

Question

Когда я набираю javascript:alert(document.cookie) в строке URL, я вижу только те файлы cookie, которые Facebook установил для моей учетной записи.

Я думаю, это потому, что другие файлы cookie имеют только http.

• Первый вопрос: это правда?Являются ли некоторые файлы cookie Facebook только http, и именно поэтому я не могу получить к ним доступ через javascript.Когда я просматриваю файлы cookie, в веб-разработчике Firefox Add on я вижу гораздо больше файлов cookie.Например: cookie «xs» не виден через javascript и виден только через веб-разработчика.

• Второй вопрос: как мне получить доступ ко всем файлам cookie через javascript, если The Add-Он может сделать это (получить доступ ко всем файлам cookie), почему javascript не может это сделать?

• В-третьих, если я не могу использовать javascript для доступа ко всем файлам cookie, как я должен это сделать?получить к ним доступ?

Answer 1

Различные браузеры будут обрабатывать флаг httponly по-разному .Должно быть очень ясно, что флаг httponly не предотвращает атаки XSS.Используя javascript, вы все равно можете «прокатиться» на сессии жертвы MySpace Sammy является хорошим примером этого.Поэтому вам не нужно указывать значение cookie, даже если вы злоумышленник.

Надстройки Firefox не подвержены тем же ограничениям безопасности, что и JavaScript, запускаемый из адресной строки или загружаемый на страницу.Например, та же самая политика происхождения не действительно применяется, потому что у нее нет происхождения.Это полезно и достаточно безопасно для дополнений, чтобы обойти эти правила.