httponly(只是限制了cookie被盗取)
HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话)
通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。
使用xss盗取的cookie为空
表单劫持(没有保存密码)
通过xss平台的表单劫持模块,填写目标表单所对应的属性
这里小迪讲的假如攻进去了,向表单源代码中写入xss语句,这…
保存密码
产生在后台的xss,存储型xss如留言板,浏览器读取账号密码