让我的网站受到xss的攻击。 那时发生了什么。
Javascript nowaday无法获取cookie(HttpOnly被标记为'true')
攻击者可以在我的网站上执行特定的操作吗?
感谢。
答案 0 :(得分:2)
您说您的网站容易受到XSS攻击并且启用了HttpOnly标记。
如果受害者的浏览器支持HttpOnly标志,则攻击者无法获取受害者的cookie,因为恶意脚本无法访问该受害者,但如果受害者的浏览器不支持HttpOnly标志会怎样?在这种情况下,浏览器会忽略HttpOnly标志并创建正常的可访问cookie,因此攻击者可以获取cookie。
HttpOnly标志不会阻止恶意脚本的执行,因此攻击者可以做更多的事情。 防爆。密钥记录器,将用户重定向到恶意站点,注入虚假登录表单等