4.2.9.1. httponly

HEXBLOG 36 0
广告
  • 在cookie为httponly的情况下,可以通过xss直接在源站完成操作,不直接获取cookie。
  • 在有登录操作的情况下,部分站点直接发送登录请求可能会带有cookie
  • 部分特定版本的浏览器可能会在httponly支持/处理上存在问题
  • 低版本浏览器支持 TRACE / TRACK,可获取敏感的header字段
  • phpinfo 等页面可能会回显信息,这些信息中包含http头
  • 通过xss劫持页面钓鱼
  • 通过xss伪造oauth等授权请求,远程登录

发表评论 取消回复
表情 图片 链接 代码

分享