【发布时间】:2017-02-06 10:55:45
【问题描述】:
来自 RFC6265 第 8.2 节:
使用 cookie 对用户进行身份验证的服务器可能会受到安全性影响 漏洞,因为一些用户代理让远程方发出 来自用户代理的 HTTP 请求(例如,通过 HTTP 重定向或 HTML 形式)。发出这些请求时,用户代理甚至会附加 cookie 如果远程方不知道 cookie 的内容, 可能让远程方在粗心的情况下行使权力 服务器。
在尝试理解 SOP 时,很明显是这种情况,但我找不到任何关于为什么会出现这种情况的信息。将每个请求的所有 cookie 盲目附加到源 A 会带来什么好处,即使该请求来自不同且可能是恶意的源 B?
【问题讨论】:
标签: http cookies browser same-origin-policy