2017-07-17 84 views
0

让我说我的网站是脆弱的xss。 然后发生了什么。XSS成功后的动作

的Javascript nowaday不能获得该cookie(仅Http被标记为“真”)

能攻击做具体的我的网站上的东西呢?

谢谢。

回答

2

你是说你的网站容易受到XSS的攻击,并且它启用了HttpOnly标志。

如果受害者的浏览器支持HttpOnly标志,那么攻击者无法获取受害者的cookie,因为它不能被恶意脚本访问,但如果受害者的浏览器不支持HttpOnly标志?在这种情况下,浏览器会忽略HttpOnly标志并创建普通的可访问cookie,因此攻击者可以获取cookie。

HttpOnly标志不会阻止恶意脚本的执行,所以攻击者可以做更多的事情。例如,关键记录器,将用户重定向到恶意站点,注入虚假登录表单等。

+0

所有主流浏览器都支持HttpOnly标志,所以我会说最后一部分是关键。 – Erlend

+0

@Erlend是的。我同意 – Anesh

相关问题