请教前端安全问题:前端 Cookie 设置 httpOnly=true 禁止 JS 读取就绝对安全吗
資深大佬 : bojue 4
设置 httpOnly 是不是就可以在前端防止 Cookie 泄露,防御伪造请求( CSRF )安全问题。
网上查阅的资料,在一些浏览器的旧版本上,虽然支持 httpOnly=true 时禁止读取 Cookie,但是没有预防 Cookie 的写入,可以通过重写 Cookie 覆盖 httpOnly = true 的安全设置[未尝试]。
在现代浏览器环境,是否存在其他方式导致在前端泄露 Cookie
大佬有話說 (8)