为什么cookie会有httponly属性?-真实案例解释XSS的三种攻击

来自：掘金，作者：宫本链接：https://juejin.im/post/6857698580817182728什么是 XSS？Xss 全称 Cross Site Scripting（跨站脚本），为了与 “CSS” 区别，就使用 XSS 作为简称。XSS 攻击是指 hacker 往 HTML 文件中注入恶意脚本，从而在用户浏览页面时运行恶意脚本对用户实施攻击的一种手段。当页面被注入了恶意 JavaScript 脚本时，浏览器是无法区分这些脚本是否是被恶意注入的还是正常的页面脚本，所以恶意注入 JavaScript 脚本也拥有所有的脚本权限。如果页面被注入了恶意 JavaScript 脚本，恶意脚本都能做哪些事情？窃取 Cookie 信息：通过恶意 js 脚本获取 Cookie 信息，然后通过 ajax 加上 CORS 功能将数据发送给恶意服务器，恶意服务器拿到用户的 Cookie 信息之后，就可以模拟用户的登录，然后 ………………………………