json - 第三方 cookie - 从其他域读取

Question

我正在创建第三方 cookie<img src="http://example.com/test.php" />

测试.php：

if($_GET['r']) {
    header('Content-type: image/gif');
    // echo transparent 1x1 pixel
    exit;
} else {
    setcookie('name', md5(time()), time()+60*60*24*30, '/');
    $url = 'http://example.com/test.php?r=1';
    header('Location: '.$url);
   exit;
}

此代码创建第三方 cookie。有什么方法可以通过 javascript 从与 example.com 不同的域读取创建的 cookie？

score 3 · Accepted Answer

不能。JavaScript 只能访问当前文档的 cookie，不能访问它的任何依赖项。

如果不是这种情况，那么作者可以从您可能拥有帐户的任何网站加载图像，使用 JavaScript 读取 cookie，将其 Ajax 到他们的服务器，然后获得该站点当前登录令牌的副本。这将是一个巨大的安全漏洞。

json - 第三方 cookie - 从其他域读取

1 回答 1

Related

Reference