1、对于含有跨站漏洞的站点来说,输入 <script> alert(document.cookie) </script> ——这显示出来的到底是cookie还是session???按“document.cookie”的语法来看显示的是cookie,但是实际显示的怎么还有sessionid而且我的硬盘上也没有cookie文件??
2、如果攻击者要利用这种跨站漏洞,在窃取到其他人的document.cookie这个变量之后如何进行欺骗??——这种欺骗是cookie欺骗还是session欺骗??
------解决方案--------------------
session是基于cookie的。cookie只在本地硬盘存在,而session,客户端和服务器都存在,以id关联。