【发布时间】:2019-02-20 05:22:21
【问题描述】:
例如,如果一个网站在您选择“让我登录”选项时将您的用户名和密码存储在 cookie 中,那么插件可以在您访问该网站时读取 cookie 吗?
【问题讨论】:
【发布时间】:2019-02-20 05:22:21
【问题描述】:
EditThisCookie 等浏览器插件可以从您正在访问的网站读取 cookie。 Cookie 基本上是包含少量信息的小型文本文件,例如偏好设置、会话 Cookie 等。
让我们看看我在回答中提到的插件的来源。源代码包含大量代码来获取所有 cookie 并将 URL 与特定 cookie 匹配。我也在源代码中找到了这个:chrome.cookies.getAll()。该功能可以读取您浏览器中存储的所有cookies。
看看我从源代码复制的sn-p:
chrome.cookies.getAll({}, function(cookieL) {
for (var x = 0; x < cookieL.length; x++) {
var cCookie = cookieL[x];
if (filterMatchesCookie(filterURL, cCookie.name, cCookie.domain, cCookie.value)) {
var cUrl = (cCookie.secure) ? "https://" : "http://" + cCookie.domain + cCookie.path;
deleteCookie(cUrl, cCookie.name, cCookie.storeId, cCookie)
}
}
});
所以回答你的问题:是的,插件可以读取你的 cookie。
【讨论】:
-
如果插件可以读取我们的 cookie,那么网站将我们的密码存储在 cookie 中如何安全?
-
@frosty 网站应该从不在 cookie 中存储密码。
-
但是如果他们有“保持登录”选项,他们就不必这样做吗?据我所知,当您关闭浏览器时,SESSIONS 会过期。
-
@frosty 我认为您将令牌误认为是密码。提供
keep me signed in选项的网站使用(加密)令牌制作 cookie。 -
有什么区别?
Cookies 是数据,所以这取决于谁编写了插件。
没有读完,但它看起来像一个很好的介绍。
http://anantgarg.com/2012/02/18/busting-the-cookies-and-privacy-myth/
【讨论】: