用javascript能不能提取httponly属性的cookie

Posted 2023-04-27

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了用javascript能不能提取httponly属性的cookie相关的知识，希望对你有一定的参考价值。

用javascript能不能提取httponly属性的cookie？
手机上的cookie需要提取，但是设置了httponly属性，document.cookie提取不到
页面不能在电脑上访问，电脑访问后手机的cookie就失效了

参考技术A 设置 HttpOnly 的作用就在于通过阻止 JS 读取 Cookie 来防止XSS 攻击。

要是你能用 JS 读出来，还要 HttpOnly 有何意义？本回答被提问者采纳参考技术B

设置 HttpOnly 的作用就在于通过阻止 JS 读取 Cookie 来防止XSS 攻击。

1.JavaScript 使网页增加互动性。

2.JavaScript 使有规律地重复的html文段简化，减少下载时间。JavaScript 能及时响应用户的操作，对提交表单做即时的检查，无需浪费时间交由 CGI 验证。

3.JavaScript 的特点是无穷无尽的，只要你有创意。

参考技术C 都设置了httponly了，就是为了不让Javascript取到呀。参考技术D var account= $.cookie('name');
jquery 可以取

经常看到一些人说tomcat6不支持httponly，查阅官方帮助文档后发现是可以支持的，tomcat6的context.xml配置说明

为什么需要httponly

sessionid一般是以cookie的形式储存和传送的，除非禁用cookie； cookie是可以通过javascript进行读取，所以需禁用sessioid通过javascript进行读取，这时候就可以通过设置Cookie的http-only属性，禁止客户端脚本读取。

在conf/context.xml配置文件中进行设置的，为Context标签添加如下属性即可开启（true）或禁止（默认）HttpOnly：
<Context useHttpOnly="true">

以上是关于用javascript能不能提取httponly属性的cookie的主要内容，如果未能解决你的问题，请参考以下文章