我正在查看仅限 http 的 cookie,我注意到它们在访问该站点时通过标题传输(实时 http 标题)。然后我想,怎么可能通过 xss 访问包含 http only cookie 的数据?非常感谢能帮忙的人。。
问问题
98 次
2 回答
0
据我所知,如果浏览器支持 http only cookie,如果有 HttpOnly 标头,它不会让 XSS 读取 cookie。所以这不是 XSS 脚本的问题,而是浏览器的问题。如果您确实想访问,您可以考虑进行一些过滤以以某种方式摆脱 HttpOnly 标头。
于 2013-07-05T18:47:45.007 回答
0
曾经有办法做到这一点。可以使用 java、flash、silverlight 或 xhr 来做到这一点。大多数漏洞已被关闭。如果服务器上启用了 TRACE 请求,使用 xss 执行 xhr TRACE 请求可能仍然有效。这称为跨站点跟踪:https ://www.owasp.org/index.php/Cross_Site_Tracing
于 2013-07-06T17:34:06.253 回答