看白帽子 web 安全，講到獲取當前用戶的 cookie，然后發(fā)送給攻擊者，攻擊者制造偽請求進行破壞操作。可是攻擊者怎么獲取每個訪問者 cookie？（假設(shè) cookie 都是前端設(shè)置的，并沒有設(shè)置 httponly）。對源代碼動手？源代碼是作者寫的，肯定不希望這么做。那攻擊者怎么將獲取他人 cookie 的腳本插入到網(wǎng)頁中的呢？