我去了一个使用vBulletin 3.8的论坛。登录时,我使用Firebug查看设置了哪些Cookie。我看到这些cookie:
__utmb,__ utmc,__ utma,__ utmz,bbsessionhash,vbseo_loggedin,bbpassword,bbuserid,bblastactivity,bblastvisit
它们都有一个值集,并且域是相同的。
但是,当我使用JavaScript查看它们时,它仅看到以下cookie:
__utmb,__ utmc,__ utma,__ utmz,vbseo_loggedin,bblastactivity,bblastvisit
在萤火虫中,我只看到这三个cookie:bbsessionhash,bbpasword和bbuserid,它们是实际设置的。HTTPOnly列中的HTTPOnly。这是什么意思,是为什么我无法使用JavaScript在Cookie中看到这些cookie document.cookie?
Answers:
来自http://en.wikipedia.org/wiki/HTTP_cookie:
如果Cookie是使用HttpOnly标志发送的,则它们对客户端程序(例如JavaScript)不直接可见。从服务器的角度来看,与常规情况唯一的区别是,在set-cookie标头行中添加了一个新字段,其中包含字符串`HttpOnly':
Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.example.net; HttpOnly当浏览器收到这样的cookie时,应该在以下HTTP交换中照常使用它,而不是使其对客户端脚本可见。
该HttpOnly标志不是任何标准的一部分,并且并非在所有浏览器中都实现。
从2017年开始更新:自2009年以来已经过去了很多时间,并且HttpOnly标头标志已成为标准,在RFC6265的5.2.6节中定义,并且存储语义在同一文档中有所描述(请查找“ http-only-flag”整个RFC文本)。
有没有办法对任何访问HttpOnly饼干从“非HTTP”的API,如JavaScript的。通过设计,既不能读取也不可以写入此类Cookie。
chrome.cookies.getAll对于Chrome),可以查看所有cookie。