Development Tip

document.cookie에 사이트의 모든 쿠키가 표시되지 않는 이유는 무엇입니까?

yourdevel 2020. 12. 1. 19:52
반응형

document.cookie에 사이트의 모든 쿠키가 표시되지 않는 이유는 무엇입니까?


vBulletin 3.8을 사용하는 포럼으로 이동합니다. 로그인 할 때 어떤 쿠키가 설정되었는지 확인하기 위해 방화범을 사용합니다. 다음 쿠키가 표시됩니다.

__utmb, __utmc, __utma, __utmz, bbsessionhash, vbseo_loggedin, bbpassword, bbuserid, bblastactivity, bblastvisit

그들은 모두 값 세트를 가지고 있었고 도메인은 동일했습니다.

그러나 JavaScript를 사용하여 볼 때 다음 쿠키 만 표시되었습니다.

__utmb, __utmc, __utma, __utmz, vbseo_loggedin, bblastactivity, bblastvisit

방화범에서는 실제로 설정된 bbsessionhash, bbpasword 및 bbuserid의 세 쿠키 만 볼 수 있습니다. HTTPOnly 열의 HTTPOnly. 그것은 무엇을 의미하며 JavaScript에서 쿠키를 볼 수없는 이유는 무엇입니까 document.cookie?


에서 http://en.wikipedia.org/wiki/HTTP_cookie :

쿠키는 HttpOnly 플래그와 함께 전송 된 경우 JavaScript와 같은 클라이언트 측 프로그램에 직접 표시되지 않습니다. 서버의 관점에서 정상적인 경우와 관련하여 유일한 차이점은 set-cookie 헤더 행에`HttpOnly '문자열을 포함하는 새 필드가 추가된다는 것입니다.

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.example.net; HttpOnly

브라우저가 이러한 쿠키를 수신하면 다음 HTTP 교환에서 평소와 같이 사용하지만 클라이언트 측 스크립트에 표시되지 않도록합니다. 플래그는 모든 표준의 일부가 아니며, 모든 브라우저에서 구현되지 않습니다.HttpOnly

2017 년 업데이트 : 2009 년 이후로 많은 시간이 지났고 HttpOnly헤더 플래그는 RFC6265섹션 5.2.6에 정의 된 표준이되었으며 동일한 문서에 설명 된 저장소 의미를 사용합니다 ( "http-only-flag"찾기 RFC 텍스트 전체).

"비 HTTP"API (예 : JavaScript)에서 쿠키 에 대해 액세스 할 수있는 방법 없습니다HttpOnly . 의도적으로 이러한 쿠키를 읽거나 쓸 수 없습니다.


선택을 취소에 대한이 확장을 사용할 수 HttpOnly다음 작동 document.cookie자바 스크립트 : https://chrome.google.com/webstore/detail/editthiscookie/fngmhnnpilhplaeedifhccceomclgfbg

참고 URL : https://stackoverflow.com/questions/1022112/why-doesnt-document-cookie-show-all-the-cookie-for-the-site

반응형