在我开始解释我们如何绕过HttpOnly标志之前,让我们讨论一下HttpOnly是什么:
HttpOnly是包含在Set-CookieHTTP响应标头中的附加标志。在生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险,如果HttpOnly标志(可选)包含在HTTP响应标头中,则无法通过客户端脚本访问cookie,如果浏览器支持这个标志。因此,即使存在跨站脚本(XSS)漏洞,并且用户意外访问了利用此漏洞的链接,浏览器也不会将cookie泄露给第三方。
如果浏览器不支持HttpOnly并且网站尝试设置HttpOnlycookie,则浏览器将忽略HttpOnly标志,从而创建传统的、脚本可访问的cookie。因此,cookie(通常是您的会话cookie)变得容易被恶意脚本窃取修改。——来源