求问大神,例如如下的一个http请求request headers信息,通过js是否能够取到这个Cookie的值?又是否通过用js修改这个Cookie值,请解!
首先你要看看后端返回的时候报文有没有设置httpOnly,如果设置了这个属性,那么在客户端是无法通过js读取甚至是操作cookie信息的。设置这个字段主要是为了防止xss注入攻击,防止cookie信息被盗取。如果没有设置httpOnly属性,就可以通过浏览器提供相关的API对cookie进行操作,也可以使用一些第三方的库来对cookie信息进行操作,例如https://github.com/js-cookie/...
httpOnly
js
cookie
xss
API
在开发者工具里要看一下是不是http only的,如果是http only的 js 就不能读也不能写了。
http only的 js 就不能读写
首先你要看看后端返回的时候报文有没有设置
httpOnly
,如果设置了这个属性,那么在客户端是无法通过js
读取甚至是操作cookie
信息的。设置这个字段主要是为了防止xss
注入攻击,防止cookie
信息被盗取。如果没有设置
httpOnly
属性,就可以通过浏览器提供相关的API
对cookie
进行操作,也可以使用一些第三方的库来对cookie
信息进行操作,例如https://github.com/js-cookie/...在开发者工具里要看一下是不是http only的,如果是http only的 js 就不能读也不能写了。
http only的 js 就不能读写