httponly
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。
绕过httponly的两种思路:
1.浏览器未保存账号密码:需要xss产生登录地址,利用表单劫持。
2.浏览器保存账号密码:产生在后台的xss,一般为存储型xss,浏览器读取xss。
常见的xss绕过的思路:xss绕过技巧 · 白帽与安全 · 看云 (kancloud.cn)
httponly
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。
绕过httponly的两种思路:
1.浏览器未保存账号密码:需要xss产生登录地址,利用表单劫持。
2.浏览器保存账号密码:产生在后台的xss,一般为存储型xss,浏览器读取xss。
