Http Heads攻击是使用IE或其他浏览器来对Web网站进行查看时, Web网站虽然采用各种不同的技术或框架, 但是HTTP协议不可能发生变化, 而Http协议本身包含的content、Response和header, 这三者之间有一个空行, 它的含义是content的开始、headers的结束。对于网络上熟知这个含义的攻击者来说, 就可以在这个空行上进行攻击, 也就是说将任意字符写入到headers, 如果在其中执行了某些Web脚本则就产生了攻击。
Cookie攻击是通过Web脚本可以对目标网站的cookie进行访问, 也就是说通过在IE浏览器的地址栏中输入Web脚本, 如果目标站点有cookie的话就可以直接看到其具体内容。Web攻击人员利用这个原理就可以很轻松的获取到用户的关键信息。在网络上存在很多网站是通过
制作服务攻击方式对用户的身份进行验证, 这种攻击方式就可以很简单的获取到用户的身份认证信息。
