我的建议是,如果您有服务器的源代码,则还有另一种方法可以获取该服务器的cookie/令牌。如果您可以命名这种为攻击者获取cookie的方法,当您拥有服务器的完整源代码时,有一种方法可以为任何用户获取cookie,您甚至不需要与网站交互即可执行此操作。因此,您不需要XSS或窃取数据那是什么方法呢?求解答
有程序源代码自然就能分析出来该程序的登录逻辑过程,可以获取到正确的cookei/令牌来操作具体的业务流程。
源码都拿到了,那当然就知道怎么计算cookie了,当然必须是完整源码,比如计算过程中使用的私钥也得有。
这不叫攻击方式吧,这叫服务越权漏洞,你讲述这种情况是不应该出现的。