我在父网页上有一个小工具。我想获取 JSESSION ID 以便从 javascript 传递当前会话的身份验证(我不想打开新会话)。document.cookies包含一个空字符串。另一方面,在查看浏览器的cookie存储时,我可以找到JSESSION ID作为HttpOnly。是否有可能在javascript中以某种方式获得它?如果没有,你能解释一下为什么吗?我在某处读到jsession是服务器端的东西,浏览器怎么可能看到它?
不,你无法理解它,这就是 HttpOnly 的重点。它告诉浏览器不应与脚本共享cookie。
这是一项安全功能,可帮助防止敏感 Cookie 在跨站点脚本攻击中被恶意脚本窃取。
如果您的小部件的脚本与网站位于同一域中,它将在发出请求时使用 cookie。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium