在浏览器中访问Facebook Cookie

Question

当我在URL栏中输入javascript:alert(document.cookie)时，我只能看到一些Facebook为我的帐户设置的cookie。

我认为这是因为其他cookie只有http。

• 第一个问题：这是真的吗？只有一些Facebook cookie只有http，这就是为什么我无法通过JavaScript访问它们。当我查看cookies时，在Web Developer Firefox Add中，我可以看到更多的cookie。例如：“xs”cookie通过javascript不可见，只能通过Web开发人员添加。

• 第二个问题：如何通过JavaScript访问所有cookie，如果附加程序可以这样做（访问所有cookie），为什么javascript不能这样做？

• 第三，如果我不能使用JavaScript来访问所有的cookies，我应该如何访问它们？

Answer 1

不同的浏览器会对待different ways中的httponly标志。应该很清楚，httponly标志不会阻止XSS攻击。使用JavaScript，您仍然可以“骑”在受害者的会话中。 MySpace Sammy worm就是一个很好的例子。所以即使你是攻击者，你也不需要cookie值。

Firefox附加组件受到与从地址栏运行或载入页面的JavaScript相同的安全限制。例如，相同的原产地政策并不适用，因为它没有产地。附加组件绕过这些规则足够有用且安全。