Cookies小插曲
新的发现
刚刚在学习的途中,突然发现一个小问题,就是document.cookie,意为设置或返回与当前文档有关的所有 cookie,
本该返回当前文档相关的所有cookies的,但是点了运行之后,却只出来这个
→
压根就没出来啥cookies哇
我感到很疑惑,照着技术文档对照了一番,发现没写错哇,于是抱着有不懂先问度娘的想法,于是乎发现
给出的解释是说">session这种设置,都是设置了HttpOnly 导致document.cookie看不到,这和xss 跨站脚本攻击(Cross Site Scripting)
附图一张:
注意了,里边出现了一个httpOnly,我又懵逼了。于是又去查了一下,发现它是Set-Cookie HTTP响应头中包含的附加标志。生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险
具体这儿解释的灰常清楚http://blog.itpub.net/31556438/viewspace-2557286/