分类目录

链接

2013年八月
« 7月   9月 »
 1234
567891011
12131415161718
19202122232425
262728293031  

近期文章

热门标签

博主推荐

现在位置:    首页 > Others > 正文
BAE 贴吧签到cookie失效解决办法
Others 暂无评论 阅读(2,264)

按ctrl+shift+k打开控制台,输入以下命令 document.cookie,可以看到一串xxx=yyy; ccc=ddd; 这样的信息。

现代浏览器都有cookie功能,方便了我们的登录。但同时,不时暴出的XSS漏洞使得泄漏出来的cookie被一些不法分子利用。因为在页面环境中,cookie是可以直接通过document.cookie直接访问的。
于是,新的安全策略出来了,那就是httponly,所谓httponly就是在设置cookie的时候,把关键的键值设置成httponly,即可以发送给服务器,但是客户端是不可见的,即不能通过document.cookie获取设定为httponly的键值。
以百度贴吧为例,关键的BDUSS键值即为登录用的密钥,但是在控制台中用document.cookie却无法得到BDUSS的键值,在firebug中可以看到该键值是httponly的。
马甲切换脚本就是通过document.cookie来设定键值的,但是在httponly的cookie下是无法用JS来设定的,所以也就失效了。
当然,可以通过firebug来修改属性来去掉httponly,然后马甲脚本应该可以再使用了。
图方便还是图安全,看你自己的选择了。

本文版权归数据库之家所有,转载引用请完整注明以下信息:
本文作者:Bruce
本文地址:BAE 贴吧签到cookie失效解决办法 | 数据库之家