.绕过httponly的方法是分为两大类一类是通过客户端漏洞比如flash，ajax 进行set cookie，另外一类是通过xst手段访问phpinfo之类的吧。面试官回答的使用http代替https是ssl 剥离方法用来绕过hsts第一阶段的吧，所以结论面试官错了，不知道我是不是理解错了，求大哥们解答。