假设我有一个网站 www.mysite.com。
如果我通过域上的 PHP 代码使用,$_COOKIE数组是否可以包含由域以外的域设置的 cookie ?www.mysite.com$_COOKIEwww.mysite.com
我的理解(这是非常有限的!)是域只能访问它自己设置的 cookie,这意味着它$_COOKIE只能包含由域设置的 cookie。这个对吗?
问问题
122 次
4 回答
4
不,只有非功能性浏览器会做这样的事情。
只有客户端可以查看所有单独域的所有 cookie,浏览器确保只发送与当前域相关的 cookie,而不发送其他域。
于 2013-02-09T11:39:31.313 回答
4
确切地说,$_COOKIE只能访问由他的域设置的 cookie。
于 2013-02-09T11:40:06.073 回答
1
从浏览器http request发送到您的服务器的信息将包含您放置在浏览器中的 cookie。访问不属于您的域的 cookie 将是一种恶意活动,会导致安全问题。
- cookie 窃取/会话劫持是一种用于窃取另一个用户的活动会话的攻击。
- 用户登录网站后,会在计算机上存储一个 cookie,因此每次访问该网站的不同页面时,都无需重新验证。
- 如果有人获得了其他人的 cookie 并将它们添加到浏览器中,那么攻击者存储的用户名/密码组合或会话 ID 将与受害者的相同,因此在网站上将攻击者身份验证为其他人(受害者),而无需知道他们的凭据。
于 2013-02-09T11:55:35.767 回答
1
通过使用 '.domain.com' 而不是 'domain.com' 可以但仅允许子域共享一些 cookie。
跨不同的域,如 domain1.com 和 domain2.com 是不可能的。
于 2013-02-09T11:53:21.860 回答