XSS代码及HTTP only绕过

什么是HTTP only？
如果你在cookie中设置了HTTP only属性，那么通过js脚本将无法获取cookie信息，这样能有效的防止XSS攻击。
——————
HTTP only代码
<?php
ini_set("session.cookie_httponly",1);
?>
——————
开启了HTTP only后，仅仅阻止了cookie获取，但不会组织跨站语句。
如果对方保存了登陆账号密码，可以通过读取的数据获取账号密码（XSS平台）。如果没有保存，需要XSS
产生登录地址，可以用表单劫持。
——————
资源：XSS靶场——xss-labs
——————
打靶场时，要多观察前端代码，进行分析。（闭合符号；写上onclick代码再写上js代码，可以不加尖括号；超链接标签；大小写；双写；编码；链接不合法，可能在后面加//http://；type="text"，出现框框，再用onclik，然后点击；抓包，添加referer：代码（伪造）