即使使用 httpOnly 使用 cookie 编辑器，我仍然可以编辑 cookie

Question

有人告诉我，将httpOnly:true 放在 cookie 上会阻止浏览器编辑 cookie，但我仍然可以在本地服务器上编辑它。

这是我目前每次制作 cookie 时所拥有的内容

res.cookie("jwt", token, {
  expires: new Date(
    Date.now() + process.env.JWT_COOKIE_EXPIRES_IN * 24 * 60 * 60 * 1000
  ),
  httpOnly: true, // cannot be modified by the browser
});

Answer 1

根据规范（rfc6265），用户代理（即浏览器）must not allowscripts在页面中访问标记为httpOnly的cookies。这并不意味着浏览器本身可能无法访问 - 实际上这是不可能的，因为浏览器必须发送带有请求的 cookie。如果您控制浏览器（在您自己的浏览器的情况下这样做），那么您作为用户可以完全控制存储在该浏览器中的任何数据，包括具有任何属性的任何 cookie。

这是许多安全漏洞的重点。作为恶意用户，您可以尝试编辑存储在浏览器中的值，以绕过 Web 应用程序中糟糕的访问控制，例如更改 ID 等以访问开发人员不希望您访问的数据。由于这很容易实现（从客户端接收到的数据可能会被客户端本身篡改），因此所有授权（访问控制）决策都必须在服务器上做出。

那么，httpOnly 的意义何在？在一类攻击中，攻击者的目标是以某种方式将 javascript 注入应用程序页面（请参阅跨站点脚本，XSS）。原因是即使攻击者以某种方式让用户访问他们的恶意网站，攻击者网站上运行的 javascript 也无法访问另一个应用程序（源）存储的信息（例如 cookie）。因此，为了访问这些信息，攻击者必须在应用程序页面上运行 javascript，如果应用程序容易受到 XSS 攻击，这实际上是可能的。

所以在 XSS 的情况下，攻击者编写 javascript，将其注入应用程序页面，当合法用户访问该页面时，受害者将在应用程序上下文中运行攻击者的 javascript。这允许攻击者访问用户有权访问的任何应用程序信息，可能最重要的是身份验证 cookie。如果攻击者获得了身份验证令牌（传统上来自 cookie），他们可能只是冒充受害者进入应用程序。

这被 httpOnly 阻止了。如果 cookie 被标记为 httpOnly，则 javascript（包括网站的合法 javascript 和攻击者的恶意 javascript）将无法访问。这可以防止攻击者通过 XSS 破坏存储在 httpOnly cookie 中的数据。

请注意，XSS 仍然是一个问题，攻击者仍然可以提取信息，这根本无法阻止 XSS。这只是意味着存储在此类 cookie 中的任何数据都不会受到损害，但可能会有更多的数据受到损害。

还请注意，正如您正确观察到的那样，这不会阻止您编辑自己的 cookie - 再次强调，目的不是消息身份验证。如果应用程序需要，它可以出于不同的原因对自己的 cookie 进行身份验证和/或加密，一些框架实际上这样做是为了无状态但仍然安全地存储会话信息。但这与 httpOnly 的作用无关。

Answer 2

这只是一个标志，使客户端脚本（例如 JavaScript 代码）无法访问 cookie。使用开发者工具访问像 cookie 这样的资源不是一回事。