Security SSL握手后，会话密钥存储在客户端的何处？

我对通过cookie/sessions实现安全连接的想法不太熟悉，因此我正在做一些研究，并遇到了SSL握手。我明白：

浏览器向服务器发送初始请求

服务器向浏览器发送证书（包含公钥n）

浏览器随机选择一个x（我不知道这是怎么做到的），然后计算（x^65537 mod n），并将计算出的值发送回服务器

服务器使用它们的两个私钥（通常是prime）解密这个计算值

服务器和客户端现在有一个只有双方知道的“会话密钥”。他们现在使用此会话密钥加密属于此会话的所有消息

我发现一个问题是关于这个SSL对称密钥（会话密钥）存储在服务器端的什么位置

---

然而，在客户端，我试着打开开发人员控制台并查找它，但找不到它。这是有道理的，显然我不应该轻易找到它。此会话密钥存储在客户端的何处？我的会话密钥是否可能在XSS攻击期间被盗？

浏览器会将会话密钥存储在内存中

它们在任何XSS攻击中都不可检索，因为它们不存储在DOM中

---

任何XSS攻击都可能不需要会话密钥来进行破坏，因为这种攻击已经可以访问除cookies之外的所有客户端所需的内容。

cookies也不存储在DOM中，但当您打开开发者控制台时，它们仍然会出现在浏览器中。。。请您向我解释一下，当会话信息在HttpOnly cookie中受到保护时，XSS攻击是如何造成混乱的（如果不是所有的话，那么大多数网站现在不应该实施这种做法吗）？例如，一些恶意JavaScript可能会使用与主机站点完全相同的样式显示登录表单，并要求用户登录。一旦输入用户名和密码，它们将被发送到客户端给攻击者。步骤3和4不正确。密钥协议协议在RC 2246和后续协议中定义，它与您在此处描述的不同。互联网上有大量来自其他来源的关于这一点的废话。不要相信他们。甚至不要读它们。