看白帽子 web 安全，讲到获取当前用户的 cookie，然后发送给攻击者，攻击者制造伪请求进行破坏操作。

可是攻击者怎么获取每个访问者 cookie？（假设 cookie 都是前端设置的，并没有设置 httponly）。对源代码动手？源代码是作者写的，肯定不希望这么做。那攻击者怎么将获取他人 cookie 的脚本插入到网页中的呢？