摘要： httponly 如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击。 绕过httponly的两种思路： 1.浏览器未保存账号密码：需要xss产生登录地址，利用表单劫持。 2.浏览器保存账号密码：产生在后台的xss，一般为存储型 阅读全文