0

假设我网站上的用户拥有来自另一个网站的 cookie,并且我知道 cookie 的名称。基本上我想要做的是给用户一个指向地址栏的链接,以及一个 Javascript 代码,它将激活该 cookie 的值(让我们称该 cookie 为“Joe”)。例如:

我的网站会给用户这个链接:Examplesite.com/page=(这里是用javascript或其他东西激活特定cookie值的代码)

读取值后,输出必须是这样的:Examplesite.com/page=54(假设 cookie 的值为 54)。

我无法使用普通脚本来执行此操作,因为我无法控制 Examplesite.com cookie(我不拥有该网站)。所以我想,为什么不给用户一个链接,浏览器会认为用户请求访问这些 cookie(这实际上是真的,因为他正在粘贴它),而不是一些随机的网站。然后用户所要做的就是将它粘贴到地址栏中,地址栏将激活它......我不确定这是否可能。任何答案将不胜感激。

4

1 回答 1

0

在 Firebug 和其他浏览器开发工具出现之前,我曾经在 URL 栏中输入以下内容来查看站点 cookie:

javascript:alert(document.cookie)

所以,我只是去了 google.com,然后在我的 Mac(OS X 10.8)上使用 Firefox 19、Chrome 26 和 Safari 6 进行了尝试。

Chrome 让我输入javascript:alert(document.cookie),但是当我将其粘贴到 URL 栏中时,它会剥离javascript:并刚刚粘贴alert(document.cookie),这会运行谷歌搜索。

Safari 会在粘贴时提醒 cookie,但 Firefox 不允许粘贴,也不允许输入。

这些结果是用户直接输入的,结果好坏参半。使用来自另一个站点的链接,以及所有“跨域”安全问题,这是行不通的。如果您想一想,这实际上是另一种形式的跨站点脚本 (XSS)攻击。

于 2013-04-21T22:46:46.280 回答