看白帽子 web 安全，講到獲取當前用戶的 cookie，然后發送給攻擊者，攻擊者制造偽請求進行破壞操作?？墒枪粽咴趺传@取每個訪問者 cookie？（假設 cookie 都是前端設置的，并沒有設置 httponly）。對源代碼動手？源代碼是作者寫的，肯定不希望這么做。那攻擊者怎么將獲取他人 cookie 的腳本插入到網頁中的呢？