HttpOnly和document.cookie

Question

寻找可能的方法来获取启用httpOnly的cookie，我找不到任何。但是，再次，像Firebug这样的浏览器插件怎么样，添加'N Edit Cookie等等可以得到cookie？攻击者不能这样做吗？

所以我的问题是，真的，真的不可能获得cookie的httpOnly启用请求，使用JavaScript？

p/s：是的我知道httpOnly不会阻止XSS攻击。我也知道这对嗅探器来说是徒劳的。我们只关注javascript，alert（document.cookie）类型/ pre httpOnly时代。

Answer 1

怎么做浏览器插件如Firebug， 添加“N编辑Cookie等可以得到 饼干？

它们是浏览器扩展，浏览器可以访问cookie;扩展具有比JS代码更高级别的特权。

是不是真的，真的不可能使用JavaScript来获得 饼干启用请求仅Http， ？这仅Http的目标 -

您使用的浏览器（即相当最近浏览器）支持的HttpOnly并没有关于它的安全漏洞，它应该是不可能提供的。

报价wikipedia：

当浏览器接收到这样的 的cookie，它应该使用它作为 往常一样在以下的HTTP交流， 但不使其可见于 客户端脚本。

Answer 2

Firebug和其他插件可以这样做，因为它们没有在对网页的JavaScript进行安全限制时运行。