document.cookie;
可以获取到 user_id 的信息:
这就造成了巨大的安全隐患,这是因为在 HTML 页面中引入第三方的 JavaScript 代码是允许的:
<html>
<head>
<script src="http://www.xxx.com/jquery.js"></script>
</head>
...
</html>
如果引入的第三方的 JavaScript 中存在恶意代码,则 www.xxx.com 网站将直接获取到目标网站的用户登录信息。
设定了 httponly 的 Cookiie 将不能被 JavaScript 读取,主流浏览器均支持 httponly 选项,
通过 Chrome 的开发者工具发现_homeland_session 和_remember_user_token 已设置了 httponly,建议把 user_id 也设置 httponnly。
