gpt4 book ai didi

使用 samesite 属性利用 cookie 的 Javascript?

转载 作者:行者123 更新时间:2023-11-30 19:34:39 27 4
gpt4 key购买 nike

如果 cookie 设置为 samesite strict,是否可以使用 javascript 将其发送到另一个站点,例如使用 javascript 获取 cookie 并将其发送给另一个用户?

最佳答案

是的,可以使用 javascript 读取 samesite cookie。因此,它们与任何其他 cookie 一样容易受到 XSS 攻击。

您可以通过在任何网站上打开 chrome inspector 并输入以下内容来自行测试:

// Set cookie
document.cookie = 'auth=lol;samesite=strict';
// Read cookie
console.log(document.cookie); // "auth=lol"

您可能会想到 httpOnly?设置 httpOnly 将阻止在 javascript 中读取,因此将防止 XSS。 https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Security

关于使用 samesite 属性利用 cookie 的 Javascript?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56068896/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com