我正在查看仅限http的cookie,我注意到他们在访问网站时通过标头传输(实时http标头)。然后我想,如何通过xss访问包含仅http cookie的数据呢? 非常感谢任何可以提供帮助的人......
答案 0 :(得分:0)
据我所知,如果浏览器支持仅http的cookie,如果有HttpOnly头,它就不会让XSS读取cookie。所以这不是XSS脚本而是浏览器的问题。如果你想访问,你可以考虑一些过滤来以某种方式摆脱HttpOnly头。
答案 1 :(得分:0)
过去常常有办法做到这一点。可以使用java,flash,silverlight或xhr来执行此操作。大多数漏洞已被关闭。如果在服务器上启用了TRACE请求,则使用xss执行xhr TRACE请求仍然可以正常工作。这称为跨站点跟踪:https://www.owasp.org/index.php/Cross_Site_Tracing