我有一个用户可以发表评论的网站。 我想知道如果他们发现了一个 xss 漏洞,他们是否仍然可以获得 cookie 数据,尽管它是 httpOnly 以及某种 XHTTPrequest、Ajax 调用或其他东西。 可能吗?
最佳答案
JavaScript 无法检索仅限 HTTP 的 cookie。因此 "HTTP-only" .
关于javascript - JS |Xss防御题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7487603/