0

私のサイトのユーザーが別のサイトからの Cookie を持っていて、その Cookie の名前を知っているとします。基本的に私がやろうとしているのは、ユーザーにアドレスバーへのリンクを提供し、それを使用してそのCookieの値をアクティブにするJavascriptコードを提供することです(そのCookieを「ジョー」と呼びましょう)。例えば:

私のサイトは、ユーザーに次のリンクを提供します: Examplesite.com/page=(これは、javascript などで特定の Cookie 値をアクティブにするコードです)

値を読み取った後の出力は、次のようになります。

Examplesite.com の Cookie を制御できないため、通常のスクリプトでは実行できません (私はその Web サイトを所有していません)。そこで私は、ランダムなウェブサイトではなく、ユーザーがこれらの Cookie へのアクセスを要求したとブラウザが判断するリンクをユーザーに提供してみませんか (実際には、彼はそれを貼り付けているためです)。次に、ユーザーがしなければならないのは、それをアドレスバーに貼り付けるだけで、アドレスバーがそれをアクティブにします...これが可能かどうかさえわかりません。どんな答えでも大歓迎です。

4

1 に答える 1

0

Firebug やその他のブラウザー開発ツールが登場する前は、URL バーに次のように入力して、サイトの Cookie を確認していました。

javascript:alert(document.cookie)

そこで、google.com にアクセスして、Mac (OS X 10.8) の Firefox 19、Chrome 26、および Safari 6 でこれを試してみました。

Chrome ではjavascript:alert(document.cookie)と入力できましたが、URL バーに貼り付けると、 が削除されてjavascript:貼り付けられalert(document.cookie)、Google 検索が実行されました。

Safari は貼り付け時に Cookie を警告しましたが、Firefox は貼り付けも入力も許可しませんでした。

これらの結果はユーザーが直接入力したものであり、さまざまな結果が得られました。別のサイトからのリンクと、すべての「クロス ドメイン」セキュリティの問題があるため、これは機能しません。考えてみれば、これはクロスサイト スクリプティング (XSS)攻撃の別の形です。

于 2013-04-21T22:46:46.280 に答える