第27天xxs跨站之代码及httponly绕过
httponly
如果设置了httponly属性,那么无法通过js脚本读取cookie,可防御xss攻击
绕过httponly:
浏览器未保存账号密码:需要xss产生登录地址,利用表单劫持
浏览器保存账号密码:产生在后台的xss,存储型xss如留言等,浏览器读取账号密码
referer:检测来源
License:
CC BY 4.0
httponly
如果设置了httponly属性,那么无法通过js脚本读取cookie,可防御xss攻击
绕过httponly:
浏览器未保存账号密码:需要xss产生登录地址,利用表单劫持
浏览器保存账号密码:产生在后台的xss,存储型xss如留言等,浏览器读取账号密码
referer:检测来源