Wisec - The WIse SECurity
__defineGetter__ を使って、Firefox で HttpOnly な Cookie を実現。すごい。
<script> HTMLDocument.prototype.__defineGetter__("cookie",function (){return "sorry";}); alert(document.cookie); </script>
これで、JavaScript から document.cookie を参照したときには、"sorry" という文字列が返るようになる。
同様に、__defineSetter__ を使って、Cookie Fixation を軽減する方法も紹介されている。
<script> HTMLDocument.prototype.__defineSetter__("cookie",function (new){}); document.cookie="hello" alert(document.cookie); </script>
↑色付きにすると、なんかチカチカするなぁ…。