Http Heads攻击是用IE或其他浏览器来对Web网站进行查询时, Web网站虽然使用各种不一样的技术或框架, 但HTTP协议不可能发生变化, 而Http协议本身包括的content、Response和header, 这三者之间有一个空行, 它的意思是content的开始、headers的结束。对于互联网上熟悉这个含义的攻击者来讲, 就能在这个空行上进行攻击, 也就是说将任意字符写入到headers, 假如在其中实行了某些Web脚本则就产生了攻击。 cookie攻击是通过Web脚本可以对目的网站的cookie进行访问, 也就是说通过在IE浏览器的地址栏中输入Web脚本, 假如目的站点有cookie的话就能直接看到其具体内容。Web攻击职员借助这个原理就能非常轻松的获得到用户的重要信息。在互联网上存在不少网站是通过制作服务攻击方法对用户的身份进行验证, 这种攻击方法就能非常简单的获得到用户的身份认证信息。
