3

我正在创建第三方 cookie<img src="http://example.com/test.php" />

测试.php:

if($_GET['r']) {
    header('Content-type: image/gif');
    // echo transparent 1x1 pixel
    exit;
} else {
    setcookie('name', md5(time()), time()+60*60*24*30, '/');
    $url = 'http://example.com/test.php?r=1';
    header('Location: '.$url);
   exit;
}

此代码创建第三方 cookie。有什么方法可以通过 javascript 从与 example.com 不同的域读取创建的 cookie?

4

1 回答 1

3

不能。JavaScript 只能访问当前文档的 cookie,不能访问它的任何依赖项。

如果不是这种情况,那么作者可以从您可能拥有帐户的任何网站加载图像,使用 JavaScript 读取 cookie,将其 Ajax 到他们的服务器,然后获得该站点当前登录令牌的副本。这将是一个巨大的安全漏洞。

于 2012-12-02T20:07:27.030 回答