3

サードパーティのCookieを作成しています<img src="http://example.com/test.php" />

test.php:

if($_GET['r']) {
    header('Content-type: image/gif');
    // echo transparent 1x1 pixel
    exit;
} else {
    setcookie('name', md5(time()), time()+60*60*24*30, '/');
    $url = 'http://example.com/test.php?r=1';
    header('Location: '.$url);
   exit;
}

このコードはサードパーティ Cookie を作成します。example.com とは異なるドメインから JavaScript を介して作成された Cookie を読み取る方法はありますか?

4

1 に答える 1

3

いいえ。JavaScriptは現在のドキュメントのCookieにのみアクセスでき、依存関係にはアクセスできません。

そうでない場合、作成者は、アカウントを持っている可能性のある任意のWebサイトから画像をロードし、JavaScriptを使用してCookieを読み取り、サーバーにAjaxして、そのサイトの現在のログイントークンのコピーを取得できます。それは巨大なセキュリティホールになるでしょう。

于 2012-12-02T20:07:27.030 に答える