Javascript для использования куки с атрибутом samesite?

Question

Если для файла cookie установлено строгое то же место, можно ли отправить его с помощью javascript на другой сайт, например, с помощью javascript, чтобы получить файл cookie и отправить его другому пользователю?

Answer 1

Да. Вы ссылаетесь на состояние, в котором вы запускаете скрипт в браузере клиента. Файл cookie samesite указывает на поведение запроса браузера, когда он обрабатывает файлы cookie сайта, но он по-прежнему доступен локально сценариями.

Как сказал @jameslol, вы можете ссылаться на HttpOnly помеченные куки. Сервер может установить флаг HttpOnly для заголовка ответа Set-Cookie. Если браузер вашей цели поддерживает флаг HttpOnly, то локальные сценарии не могут получить доступ к cookie.

Однако, если браузер не поддерживает этот флаг, он вместо этого установит обычный cookie, получая cookie-файлы, доступные клиентским сценариям.

Дополнительное чтение:

• HttpOnly flag
• Список таблиц поддержки браузера флага HttpOnly
• флаг того же самого сайта и CSRF-атаки

Answer 2

Да, файлы cookie того же сайта могут быть прочитаны с использованием JavaScript.Таким образом, они уязвимы для атак XSS так же, как и любой другой файл cookie.

Вы можете проверить это самостоятельно, открыв Chrome Inspector на любом веб-сайте и введя следующее:

// Set cookie
document.cookie = 'auth=lol;samesite=strict';
// Read cookie
console.log(document.cookie); // "auth=lol"

Возможно, выдумать о httpOnly?Установка httpOnly предотвратит чтение в javascript и, следовательно, предотвратит XSS.https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Security