标签: javascript cookies xss
我有一个用户可以发表评论的网站。 我想知道,如果他们找到一个xss漏洞,如果他们仍然可以得到cookie数据,虽然它是httpOnly与某种XHTTPrequest,Ajax调用或其他东西。 有可能吗?
答案 0 :(得分:2)
JavaScript无法检索仅HTTP的cookie。因此"HTTP-only"。