摘要：对于xss攻击（窃取cookie），一个有效的方式是设置httponly属性，在apache2.2.X 很多版本，当cookie过长时，将返回cookie导致cookie泄露这个POC试验失败-_-不知道为啥开始时不知道ajax请求如何携带cookie发送，以为还是setRequestHeader。... 阅读全文