什么是HTTP only?
如果你在cookie中设置了HTTP only属性,那么通过js脚本将无法获取cookie信息,这样能有效的防止XSS攻击。
——————
HTTP only代码
<?php
ini_set("session.cookie_httponly",1);
?>
——————
开启了HTTP only后,仅仅阻止了cookie获取,但不会组织跨站语句。
如果对方保存了登陆账号密码,可以通过读取的数据获取账号密码(XSS平台)。如果没有保存,需要XSS
产生登录地址,可以用表单劫持。
——————
资源:XSS靶场——xss-labs
——————
打靶场时,要多观察前端代码,进行分析。(闭合符号;写上onclick代码再写上js代码,可以不加尖括号;超链接标签;大小写;双写;编码;链接不合法,可能在后面加//http://;type="text",出现框框,再用onclik,然后点击;抓包,添加referer:代码(伪造)