在搜索启用了httpOnly的cookie的可能方法时,我找不到任何方法。但是话说回来,像Firebug,Add 'N Edit Cookie这样的浏览器插件是如何获取Cookie的呢?攻击者不能这样做吗?
所以我的问题是,使用javascript获取启用了httpOnly的请求的cookie真的真的是不可能的吗?
是的,我知道httpOnly不能阻止XSS攻击。我也知道这对嗅探者来说是徒劳的。让我们只关注javascript,sort alert(document.cookie)类型/ pre httpOnly时代。