摘要: httponly 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 绕过httponly的两种思路: 1.浏览器未保存账号密码:需要xss产生登录地址,利用表单劫持。 2.浏览器保存账号密码:产生在后台的xss,一般为存储型 阅读全文