JavaScript & Cookie対応携帯電話はXSSからおさらばできるか(高木浩光＠茨城県つくば市 の日記)

携帯電話のcookie対応はEZweb陣営で既に達成されているが、JavaScript対応は初であろう。気になるのは、JavaScript対応がどこまでの範囲で行われているかだ。

(中略)

問題は、JavaScriptからcookieにアクセスする機能、つまり「document.cookie」というプロパティの機能が搭載されているかどうかだ。

もしこの機能が削られているならば、たとえWebサイト側にXSS（クロスサイトスクリプティング）脆弱性があったとしても、それによってcookieを盗まれることはない。

(中略)

携帯電話のブラウザでは、どのみち完全なPC向けWebサイト対応は期待されていないのだから、この際思い切って、document.cookie機能を搭載しないでおいたらどうか。「セキュリティを重視して危ない機能は排除した」と主張すればよい。

一部の掲示板等でdocument.cookieが使われている（cookieで覚えさせたハンドルやメールアドレスを名前欄、E-mail欄に表示するため）が、JavaScriptを使わなくともCGI側で同じことを実現できるのだから、こんな機能はなくなってもかまわないはずだ。

ちょっと古い話だが高木氏がAH-K3001Vについてdocument.cookeメソッドについて書かれていたので試してみた。

を作成してAH-J3001VのOperaでアクセスしてみたのが上記の画像である。(V401SHで撮影)

snitch=

と表示されている。
やはりdocument.cookieメソッドは存在するようだ。