极客观点
项目管理
HarmonyOS
为了安全,服务器会把cookie的某些值设置为httpOnly,这样客户端就不能通过javascript的document.cookie拿到这些cookie值。
但是在chrome的devTools - Application - cookie 里,还是能看到这些设置为httpOnly的cookie值呀,这样攻击者是不是一样能把它拷出来,去登录伪造请求呢?
这样其实还是没限制我在客户端获取cookie值,httpOnly设置的意义何在呢?小白不懂,求指教。
chrome撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
js 如何将Key属性相同的放在同一个数组?
{代码...} 说明:id和name是动态的,有可能后台返回的是age和school,不是固定id和name想要的结果是; {代码...}10 回答11.7k 阅读
前端代码更新如何通知用户刷新页面?
前端代码更新如何通知用户刷新页面?2 回答3.2k 阅读✓ 已解决
如何解决浏览器清除缓存导致axios请求404?
我的vue工程中使用axios请求。在页面加载时将baseurl存放在了sessionStorage中,封装request时通过获取session创建axios对象。现在偶尔会出现清除浏览器缓存时请求报404 因为baseurl被清除了。思索了很久没懂为什么会出现这种情况,页面加载时axios对象不就已经创建成功吗 中途清缓存怎么会影响到对象内部呢。4 回答2.2k 阅读✓ 已解决
chrome控制台的$不是jquery ?
$只返回了一个元素. queryAll返回两个.ƒ $() { [native code] } 哪里有关有这个函数的实现? 为什么只返回一个元素?3 回答1.2k 阅读✓ 已解决
如何实现一个深拷贝函数?
在项目开发中,如何实现一个深拷贝函数?3 回答868 阅读✓ 已解决
浏览器跨域请求带不上 cookie(已经设置了携带 cookie),是为什么?
从站点 a 请求 b 域名的接口,带不上 cookie,前后端均已经设置了携带 cookie前端(axios 设置 withCredentials)后端(设置 Access-Control-Allow-Credentials)但是从 c 站点,或者本地 localhost 发起请求却可以带上 cookie求指导是遗漏了哪里的配置5 回答3.1k 阅读
浏览器的打印功能无法保留 body 背景色?
{代码...} 上述代码所示,我将 body 设置为红色背景,但是打印出来的是默认的颜色2 回答1.2k 阅读✓ 已解决
你只要写到浏览器,客户端就一定可以拿到的,如果是一些敏感信息就不要放到cookie里,要放到服务端。
还有httponly只是客户端脚本访问Cookie限制,并不能阻止客户伪造和获取,而且客户端可以获取cookie的方式有很多种,所以只要写到cookie里,用户就一定能拿到的。