XSS成功后的动作
Action after XSS successfully
假设我的网站容易受到 xss 攻击。
然后发生了什么。
Javascript现在无法获取cookie(HttpOnly被标记为'true')
然后攻击者可以在我的网站上做一些特定的事情吗?
谢谢。
您是说您的网站容易受到 XSS 攻击并且它启用了 HttpOnly 标志。
如果受害者的浏览器支持 HttpOnly 标志,那么攻击者无法获取受害者的 cookie,因为恶意脚本无法访问它,但如果受害者的浏览器不支持 HttpOnly 标志怎么办?在这种情况下,浏览器会忽略 HttpOnly 标志并创建正常的可访问 cookie,因此攻击者可以获得 cookie。
HttpOnly 标志不会阻止恶意脚本的执行,因此攻击者可以做更多的事情。
前任。键盘记录器、将用户重定向到恶意站点、注入虚假登录表单等
假设我的网站容易受到 xss 攻击。 然后发生了什么。
Javascript现在无法获取cookie(HttpOnly被标记为'true')
然后攻击者可以在我的网站上做一些特定的事情吗?
谢谢。
您是说您的网站容易受到 XSS 攻击并且它启用了 HttpOnly 标志。
如果受害者的浏览器支持 HttpOnly 标志,那么攻击者无法获取受害者的 cookie,因为恶意脚本无法访问它,但如果受害者的浏览器不支持 HttpOnly 标志怎么办?在这种情况下,浏览器会忽略 HttpOnly 标志并创建正常的可访问 cookie,因此攻击者可以获得 cookie。
HttpOnly 标志不会阻止恶意脚本的执行,因此攻击者可以做更多的事情。 前任。键盘记录器、将用户重定向到恶意站点、注入虚假登录表单等