如果在基于cookie的访问限制的站点上使用AJAX, JavaScript需要访问cookie。HttpOnly cookie在AJAX站点上工作吗?

编辑:微软创建了一种防止XSS攻击的方法，如果指定了HttpOnly，则不允许JavaScript访问cookie。FireFox后来也采用了这种方法。所以我的问题是:如果你在一个网站上使用AJAX，比如StackOverflow, Http-Only cookie是一个选项吗?

编辑2:问题2。如果HttpOnly的目的是防止JavaScript访问cookie，并且您仍然可以通过XmlHttpRequest对象通过JavaScript检索cookie，那么HttpOnly的意义是什么?

编辑3:以下是维基百科上的一段话:

当浏览器接收到这样的cookie时，它应该在接下来的HTTP交换中像往常一样使用它，但不使它对客户端脚本可见HttpOnly标志不是任何标准的一部分，也不是在所有浏览器中都实现的。请注意，目前没有阻止通过XMLHTTPRequest读写会话cookie。[33]。

我理解这份文件。当你使用HttpOnly时，cookie会被阻塞。但是，您似乎仍然可以在XMLHttpRequest对象中读取cookie值，从而允许XSS。HttpOnly如何让你更安全?通过使cookie本质上只读?

在您的示例中，我无法写入您的文档。cookie，但我仍然可以窃取您的cookie，并使用XMLHttpRequest对象将其发布到我的域。

<script type="text/javascript">
    var req = null;
    try { req = new XMLHttpRequest(); } catch(e) {}
    if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {}
    if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {}
    req.open('GET', 'http://stackoverflow.com/', false);
    req.send(null);
    alert(req.getAllResponseHeaders());
</script>

编辑4:对不起，我的意思是你可以发送XMLHttpRequest到StackOverflow域，然后将getAllResponseHeaders()的结果保存为字符串，regex出cookie，然后将其发布到外部域。看来维基百科和哈。在这一点上，很多人都同意我的观点，但我想接受再教育……

最终编辑:啊，显然两个网站都错了，这实际上是FireFox的一个bug。IE6和ie7是目前唯一完全支持HttpOnly的浏览器。

重申一下我所学到的一切:

HttpOnly限制对文档的所有访问。在IE7和FireFox(不确定其他浏览器)的cookie HttpOnly从IE7中的XMLHttpObject.getAllResponseHeaders()中的响应头中删除cookie信息。 XMLHttpObjects只能提交到它们产生的域，因此没有跨域发布cookie。

编辑:此信息可能不再是最新的。