如图flask的app.py里显示app的默认配置,httponly默认值为true,所以如果开发者不修改这个配置的话,攻击者是无法通过xss攻击读取浏览器cookie这部分信息的。
Cookie:sessionid=xxxx;nsessionid=xxxxx 这里的分号表示有两个session信息,httponly设置也是需要设置两次的
Tsession为flask的app生成的session,得到了保护(httponly)
但是其他cookie信息没有受到保护,是可以直接js读取的
如图flask的app.py里显示app的默认配置,httponly默认值为true,所以如果开发者不修改这个配置的话,攻击者是无法通过xss攻击读取浏览器cookie这部分信息的。
Cookie:sessionid=xxxx;nsessionid=xxxxx 这里的分号表示有两个session信息,httponly设置也是需要设置两次的
Tsession为flask的app生成的session,得到了保护(httponly)
但是其他cookie信息没有受到保护,是可以直接js读取的