Доступ к файлам cookie Facebook в браузере

Question

Доступ к файлам cookie Facebook в браузере

Когда я набираю javascript:alert(document.cookie) в строке URL я вижу только те cookie, которые Facebook установил для моей учетной записи.

Я думаю, что это потому, что другие куки только http.

Первый вопрос: это правда? Являются ли некоторые файлы cookie Facebook только http, и поэтому я не могу получить к ним доступ через javascript. Когда я просматриваю файлы cookie, в веб-разработчике Firefox Add on я вижу гораздо больше файлов cookie. Например: cookie "xs" не виден через JavaScript и виден только через веб-разработчик.
Второй вопрос: как мне получить доступ ко всем файлам cookie через javascript, если дополнение может это сделать (получить доступ ко всем файлам cookie), почему javascript не может это сделать?
В-третьих, если я не могу использовать javascript для доступа ко всем файлам cookie, как мне получить к ним доступ?

4

facebook security cookies session-hijacking

Источник

user1055058 19 ноя '11 в 07:39

1 ответ

Решение

Другие вопросы по тегам facebook security cookies session-hijacking

user183528 19 ноя '11 в 18:01 2011-11-19 18:01 · Accepted Answer · 2011-11-19 18:01

Различные браузеры будут обрабатывать флаг httponly по- разному. Должно быть очень ясно, что флаг httponly не предотвращает атаки XSS. Используя javascript, вы все равно можете "прокатиться" на сессии жертвы. Червь MySpace Sammy является хорошим примером этого. Поэтому вам не нужно указывать значение cookie, даже если вы злоумышленник.

На надстройки Firefox не распространяются те же ограничения безопасности, что и на JavaScript, запускаемый из адресной строки или загружаемый на страницу. Например, та же самая политика происхождения на самом деле не применяется, потому что она не имеет происхождения. Это полезно и достаточно безопасно для дополнений, чтобы обойти эти правила.