博主在俱乐部群里讨论某站XSS漏洞拦截方法,提出用js拦截,后发现因httponly保护行不通。期间与群主交流,还遭他人嘲讽。博主在此澄清误会,解释情况,并表达个人观点。
本人是某俱乐部成员,同时也有自己的技术网站, sojpt.com
因聊天中有很多误会,在此澄清同时也做了相应的解释, 内容如有冒犯请联系本人删除
2019年5月22日上午,在工作空闲时,看了下俱乐部的群消息。下面截图
一开始发现 某站有xss漏洞,直接想到的就是打cookie, 然后有人说时 httponly 保护,我就想可以通过拦截请求,然后直接想到的是通过js拦截和其他拦截,因为想到js拦截的话比较省事和简单,所以在群里说了可以通过js拦截,有的人表示反对,然后在群里讨论了半天, 就有了下面内容,(后来有人说了, 我查了下资料才知道js拦截行不通, 因为httponly修饰的cookie是js发起请求时浏览器附加上去的,此路不通,可以考虑其他拦截方式)
群主来直接又是httponly ,又返回之前的话题,
这里完全是给台阶下,没想到还找我充会员。。。
这是和群主的主要对话
后面一直有人那我一开始的话来嘲讽我,断章取义, 我也是无语了。。。
该说的我也都说了, 该解释的也解释了, 最后我付出了两天的成果, 就这么被某些人践踏。 何况我这实现思路,他们未必会有。
单纯在此解释,和表达我个人观点。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
