无法访问 iframe 中加载的自己域上的 httponly 标记 cookie

Question

我正在制作一个 chrome 扩展程序，它在网页上注入 iframe 并显示一些内容。

iframe 中加载的内容来自 https://example.com，我对它有完全控制。我正在尝试通过document.cookie 从 iframe（我认为应该可用）访问https://example.com 的 cookie。这不会让我访问带有 httponly 标记的 cookie，我不知道这是为什么。毕竟这不是跨域的。是吗？

这是我用来获取 cookie 的代码

jQuery("#performAction").click(function(e) {
    e.preventDefault();
    console.log(document.domain); // https://example.com
    var cookies = document.cookie;
    console.log('cookies', cookies);
    var httpFlaggedCookie1 = getCookie("login_sess");
    var httpFlaggedCookie2 = getCookie("login_pass");
    console.log('httpFlaggedCookie1 ', httpFlaggedCookie1 ); // shows blank
    console.log('httpFlaggedCookie2 ', httpFlaggedCookie2 ); // shows blank
    if(httpFlaggedCookie2 != "" && httpFlaggedCookie2 != ""){
        doSomething();
    } else{
        somethingElse();
    }
});

有什么建议可以为此做些什么吗？

Answer 1

在 Chrome 中默认为HttpOnly cookies are prevented to be read and written in JavaScript。

但是，由于您正在编写 chrome 扩展，您可以使用 chrome.cookies.get 和 chrome.cookies.set 进行读/写，并在 manifest.json 中声明 cookies 权限。请注意chrome.cookies 只能在后台页面中访问，因此您可能需要使用Message Passing 做一些事情