【发布时间】:2011-03-17 17:43:19
【问题描述】:
据我了解document.cookie 只会获取您当前所在站点的 cookie。恶意站点是否有可能通过使用 iFrame、修改我的 HTTP 标头、向目标站点发出请求或其他方法来解决此问题?
【问题讨论】:
【发布时间】:2011-03-17 17:43:19
【问题描述】:
DNS Rebinding 可用于绕过浏览器使用的同源策略 (SOP),以防止一个网站读取其他网站数据,如 cookie、dom 等
Here 是一个很棒的视频,可以了解它的工作原理以及如何预防它。
【讨论】:
一种方法是通过跨站点脚本攻击。 This 简要概述了 cookie 窃取如何与 XSS 一起使用。
【讨论】:
这些技术通常不起作用。 iframe 拒绝以编程方式访问不同域上页面的页面内容和 cookie 等属性。同样,Javascript HTTP 请求只允许发往与请求页面相同的域。
【讨论】:
-
为什么说一般?如果我使用的是旧浏览器或其他东西,会发生这种情况吗?
-
JavaScript 和 HTML 是标准;网络浏览器以不同的方式实现它们,有些可能不注意安全性。但是,如果没有此类检查,将很难找到最新版本的现代网络浏览器。