xss是否可以通过分析头来访问仅http cookie
can http only cookies be accessed by xss via analyzing headers?
我查看了仅http cookie,并注意到它们在访问网站时通过标头传输(实时http标头)。然后我想,怎么可能通过xss访问包含仅http cookie的数据?非常感谢任何能帮忙的人。。
据我所知,如果浏览器支持http only cookie,如果有HttpOnly头,它不会让XSS读取cookie。所以这不是XSS脚本的问题,而是浏览器的问题。如果您确实想访问,可以考虑进行一些过滤,以某种方式消除HttpOnly标头。
过去有很多方法可以做到这一点。可以使用java、flash、silverlight或xhr来完成此操作。大多数漏洞都已关闭。如果在服务器上启用了TRACE请求,那么使用xss执行xhr TRACE请求可能仍然有效。这被称为跨站点跟踪:https://www.owasp.org/index.php/Cross_Site_Tracing
相关文章:
- 我无法使用angularJs($http)访问服务器
- 存储$http如何从$http函数(Angularjs)外部获取可访问变量中的响应
- jQuery成功,访问HTTP状态文本
- 在函数外部的 Angularjs 中访问 $http.get 的结果
- Grails - 在javascript中访问http数据
- 无法在 Heroku 中访问 http 上的 cookie,只能访问 https
- 访问 http 状态代码常量
- Angular JS从控制器中的工厂访问$http数据
- 创建的应用程序无法通过访问http://localhost:1841/MyApp.
- 如何访问$http和HTML5FileReader上传的文件
- CKEditor访问http内容
- Access-Control-Allow-Origin不允许访问http://localhost
- 从Javascript访问HTTP认证信息
- 如何从Firefox工具栏中访问HTTP标头
- 通过Javascript访问HTTP GET请求
- 当你用承诺发出ajax请求时,你如何访问http报头?
- angular 1.5无范围访问http.get中的数据
- 在iPad Safari上访问http://myWindowsMachine
- angular js,我无法访问$http请求响应
- 如何通过 JavaScript 访问 HTTP 请求标头字段