在瀏覽器中訪問Facebook Cookie

Question

當我在URL欄中輸入javascript:alert(document.cookie)時，我只能看到一些Facebook爲我的帳戶設置的cookie。

我認爲這是因爲其他cookie只有http。

• 第一個問題：這是真的嗎？只有一些Facebook cookie只有http，這就是爲什麼我無法通過JavaScript訪問它們。當我查看cookies時，在Web Developer Firefox Add中，我可以看到更多的cookie。例如：「xs」cookie通過javascript不可見，只能通過Web開發人員添加。

• 第二個問題：如何通過JavaScript訪問所有cookie，如果附加程序可以這樣做（訪問所有cookie），爲什麼javascript不能這樣做？

• 第三，如果我不能使用JavaScript來訪問所有的cookies，我應該如何訪問它們？

Answer 1

不同的瀏覽器會對待different ways中的httponly標誌。應該很清楚，httponly標誌不會阻止XSS攻擊。使用JavaScript，您仍然可以「騎」在受害者的會話中。 MySpace Sammy worm就是一個很好的例子。所以即使你是攻擊者，你也不需要cookie值。

Firefox附加組件受到與從地址欄運行或載入頁面的JavaScript相同的安全限制。例如，相同的原產地政策並不適用，因爲它沒有產地。附加組件繞過這些規則足夠有用且安全。