我在父网页上有一个小工具。我想获取JSESSION ID,以便通过javascript通过当前会话的身份验证(我不想打开新会话)。 document.cookies包含一个空字符串。另一方面,查看浏览器的cookie存储时,我可以找到JSESSION ID作为HttpOnly。是否有可能以某种方式在javascript中获得此信息?如果没有,请您解释一下原因?我在某处读到jsession是服务器端的东西,浏览器怎么可能看到它?

最佳答案

不,您无法获得它,这就是HttpOnly的重点。它告诉浏览器cookie不应该与脚本共享。

This is a security feature to help keep sensitive cookies from being stolen by malicious scripts in Cross-Site Scripting attacks

如果您的小部件脚本与网站位于同一域中,则在发出请求时它将使用cookie。

09-25 11:20