Http Heads攻击是使用IE或其他浏览器来对Web网站进行查看时, Web网站虽然采用各种不同的技术或框架, 但是HTTP协议不可能发生变化, 而Http协议本身包含的content、Response和header, 这三者之间有一个空行, 它的含义是content的开始、headers的结束。对于网络上熟知这个含义的攻击者来说, 就可以在这个空行上进行攻击, 也就是说将任意字符写入到headers, 如果在其中执行了某些Web脚本则就产生了攻击。
       Cookie攻击是通过Web脚本可以对目标网站的cookie进行访问, 也就是说通过在IE浏览器的地址栏中输入Web脚本, 如果目标站点有cookie的话就可以直接看到其具体内容。Web攻击人员利用这个原理就可以很轻松的获取到用户的关键信息。在网络上存在很多网站是通过制作服务攻击方式对用户的身份进行验证, 这种攻击方式就可以很简单的获取到用户的身份认证信息。