寻找可能的方法来获取启用httpOnly的cookie,我找不到任何。但是,再次,像Firebug这样的浏览器插件怎么样,添加'N Edit Cookie等等可以得到cookie?攻击者不能这样做吗?HttpOnly和document.cookie
所以我的问题是,真的,真的不可能获得cookie的httpOnly启用请求,使用JavaScript?
p/s:是的我知道httpOnly不会阻止XSS攻击。我也知道这对嗅探器来说是徒劳的。我们只关注javascript,alert(document.cookie)类型/ pre httpOnly时代。