如何使用JavaScript讀取安全Cookie

Question

有沒有什麼方法可以用javascript讀取安全cookie？我試圖用document.cookie來做，並且據我所見http://securitymusings.com/article/909/secure-cookies-the-httponly-flag我無法以這種方式訪問​​安全cookie。

任何人都可以爲我提供解決方法嗎？

Answer 1

不同的瀏覽器enable different security measures when the HTTPOnly標誌設置。例如Opera和Safari不會阻止JavaScript寫入cookie。但是，所有主流瀏覽器的最新版本都禁止閱讀。

但更重要的是爲什麼要讀取HTTPOnly cookie？如果您是開發人員，只需禁用該標誌並確保您的test your code for xss。我建議您儘可能避免禁用此標誌。應該始終設置HTTPOnly標誌和「安全標誌」（強制cookie通過https發送）。

如果您是攻擊者，那麼您想要劫持會話。但是，儘管有HTTPOnly標誌，但還是有一種簡單的方法來劫持會話。您仍然可以在不知道會話ID的情況下參加會議。 MySpace Sammy worm就是這麼做的。它使用XHR讀取CSRF令牌，然後執行授權任務。因此，攻擊者幾乎可以做任何記錄用戶可以做的事情。

人們對HTTPOnly標誌過於信任，XSS仍然可以被利用。您應該圍繞敏感功能設置屏障。如更改密碼字段應該要求當前密碼。管理員創建新帳戶的能力應該需要驗證碼，這是一個不容易繞過XHR的CSRF prevention technique。

Answer 2

HttpOnly cookies的重點在於它們不能被JavaScript訪問。

腳本讀取它們的唯一方法（除了利用瀏覽器錯誤）是在服務器上有一個協作腳本，它將讀取cookie值並將其作爲響應內容的一部分進行回顯。但是如果你能做到這一點，爲什麼首先使用HttpOnly cookie呢？