Cookies 和 iframes,如何处理它们?

【问题标题】:Cookies and iframes, how to deal with them?Cookies 和 iframes,如何处理它们?
【发布时间】:2011-01-11 05:14:11
【问题描述】:

前几天我发现 iexplorer 不接受来自 iframe 的 cookie,除非 iframe 提供 P3P 授权。起初,我就像“WTF?”,但今天我想知道可能发生的坏事。

例如,我有一个名为herp.com 的网站,您可以在其中删除带有http://herp.com/product/111/delete 的产品(我知道这是一种不好的做法,GET 应该是无能的)。然后恶意网站管理员在http://derp.com 中创建了一个带有iframe 到http://herp.com/product/111/delete 的网站,所以...如果我作为herp.com 中的登录用户,用我的浏览器打开derp.com... 我会删除产品111 ?

我还应该害怕哪些问题?

提前致谢。

【问题讨论】:

    标签: cookies iframe security


    【解决方案1】:

    您应该更害怕您的 http GET 导致删除。您描述的场景与在页面上从derp.com 到herp.com/product/111/delete 的重定向没有太大区别。在任何一种情况下,用户都会在不知不觉中加载 herp.com,并且浏览器会自动为该站点提供任何 cookie。

    【讨论】:

    • 你是对的,这是一个糟糕的设计,不值得考虑。干杯。
    猜你喜欢
    • 1970-01-01
    • 2011-04-02
    • 1970-01-01
    • 2011-02-05
    • 2011-06-19
    • 1970-01-01
    • 1970-01-01
    • 2017-08-06
    • 2021-05-29
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode