Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
无论如何,是否可以从 javascript 访问与 cookie 相关的数据,例如路径、标志和到期日期?对于 cookie 访问,我所能找到的只是document.cookie,它仅提供名称值对的列表。为什么 cookie 访问的接口如此有限?
document.cookie
不,就安全的跨浏览器支持而言,没有。推理归结为安全性。
cookie 的目标是允许从浏览器到服务器的来回通信。 如果您可以允许任何前端脚本手动编辑 cookie 的域/路径/过期,只是为了知道它的名称,这将导致很多潜在的安全漏洞,如果不是为了欺骗访问,那么至少对于无形中追踪人。
这并不是说 cookie 本质上是安全的,甚至根本就特别安全。 我的意思是说,通过允许任何和所有 JS 编辑发送到服务器的任何和所有 cookie 数据(不仅仅是 CRUD),任何安全伪装都会在心跳中消失。