nicht angemeldet
Greasemonkey und Cookies mit HttpOnly
Hallo,
Ich schreibe gerade ein Greasemonkeyskript (Firefox) und muss/will dort aus einem Cookie eine Session ID auslesen. Das Problem ist, dass der Cookie als HttpOnly geschickt wird, also nicht per Javascript abrufbar ist.
Wie komme ich jetzt an die Sesseion ID oder das Cookie?
Im Internet konnte ich dazu bislang leider nichts finden. :(
Danke,
Jannis
-
Hi,
Ich schreibe gerade ein Greasemonkeyskript (Firefox) und muss/will dort aus einem Cookie eine Session ID auslesen. Das Problem ist, dass der Cookie als HttpOnly geschickt wird, also nicht per Javascript abrufbar ist.
Wie komme ich jetzt an die Sesseion ID oder das Cookie?Über die Auswertung der HTTP-Header vielleicht?
Per GreaseMonkey-Script solltest du ja auch darauf Zugriff haben.MfG ChrisB
--
Light travels faster than sound - that's why most people appear bright until you hear them speak. -
Hallo Jannis,
Ich schreibe gerade ein Greasemonkeyskript (Firefox) und muss/will dort aus einem Cookie eine Session ID auslesen. Das Problem ist, dass der Cookie als HttpOnly geschickt wird, also nicht per Javascript abrufbar ist.
soweit in den einschlägigen Seiten zu recherchieren war, ist HttpOnly Teil einer auf dem Entwicklungsweg befindliche Reform der RFC 2965 (kurz: Cookies V2).
Warum trotz same origin policy JavaScript eingeschränkt wird, ist mir bis jetzt aber nebulös. Sei es, wie es sei.
Wie komme ich jetzt an die Sesseion ID oder das Cookie?
XMLHttpRequest allows reading HTTPOnly cookies. Ob es funktioniert, habe ich nicht nachvollzogen. Auch erscheint mir hier AJAX als Lösung wie ein quietschender Keilriemen.
Gruß aus Berlin!
eddi--
Was haben wir denn heute? "Kampf der Titanen" - Aha! Es treten an 0 und 1.-
Hi,
Wie komme ich jetzt an die Sesseion ID oder das Cookie?
XMLHttpRequest allows reading HTTPOnly cookies. Ob es funktioniert, habe ich nicht nachvollzogen.
Die Seite, die du verlinkt hast, stellt das ja als Bug dar - selbst wenn es aktuell funktioniert, wird man sich darauf wohl in Zukunft nicht verlassen können.
Aber aus einem GreaseMonkey-Script heraus müsste man doch (andere) Möglichkeiten haben, auf die Header zuzugreifen - oder auch per XUL beispielsweise?
MfG ChrisB
--
Light travels faster than sound - that's why most people appear bright until you hear them speak.-
Hallo Chirs,
XMLHttpRequest allows reading HTTPOnly cookies. Ob es funktioniert, habe ich nicht nachvollzogen.
Die Seite, die du verlinkt hast, stellt das ja als Bug dar - selbst wenn es aktuell funktioniert, wird man sich darauf wohl in Zukunft nicht verlassen können.Was mit anderen Worten bedeutet, dass es meiner Recherche nach keine Möglichkeit (mehr) gibt.
Aber aus einem GreaseMonkey-Script heraus müsste man doch (andere) Möglichkeiten haben, auf die Header zuzugreifen - oder auch per XUL beispielsweise?
Der Schmieraffe führt (externe) Nutzerscripte mit den Rechten des originalen Webdokuments aus, hebt sie aber - zum Glück - nicht auf XUL Ebene an, also Ebene der Rechte, die Mozillas Browser zum Ausführen von Javascripten des graphical user interface haben.
Warum trotz same origin policy JavaScript eingeschränkt wird, ist mir bis jetzt aber nebulös.
Aber in dem Zusammenhang wird mir auch langsam klar, warum es notwendig ist, Javascript per Flag von Cookie-Inhalten fernhalten zu können.
Gruß aus Berlin!
eddi--
Was haben wir denn heute? "Kampf der Titanen" - Aha! Es treten an 0 und 1.
-
-