7

我希望我没有错过某个地方的东西,但我无法理解我正在做的事情到底发生了什么。

我正在编写一个 web 应用程序,在我的应用程序中,我以编程方式打开一个新页面来搜索 duckduckgo 中的内容。我正在使用以下代码window.open("https://duckduckgo.com/?q=something"),这对我有好处。

这一切都很好,但我注意到当这段代码被执行时,在我的控制台中,会记录以下内容:

在“ http://localhost:8000 ”上自动授予跟踪器“ https://duckduckgo.com ”的存储访问权限。

我想知道这意味着什么。
我知道这可能与duckduckgo本身无关,也许只是它们足够好,可以实际记录一些东西并保持透明。

使用时与外部网站准确共享哪些信息window.open?“授予对跟踪器的访问权限”是什么意思?我的控制台中的这个日志来自哪里?外部站点实际上可以在我的当前页面中执行一些 javascript 代码吗?这对我来说似乎很奇怪,而且听起来对隐私来说是灾难性的。

4

2 回答 2

4

因此,根据我从这个 firefox 文档页面的理解(加上一些实验window.open):

window.open运行到 open时,这允许从现在或未来 30 天内加载的https://duckduckgo.com任何跟踪器都可以访问它自己的域存储(而不仅仅是本地主机)。https://duckduckgo.comlocalhost

该消息由 firefox 自己记录,以通知您刚刚授予了https://duckduckgo.com.

(非常感谢 Amy 提供的链接,让我能够学习和回答自己 :))

于 2019-11-22T17:47:19.743 回答
0

收到骗局链接,经过一些测验后会在弹出窗口中打开一个来自 js 端的奇怪链接window.open(strange link)。弹出加载后,它重定向到 instagram,在控制台中我看到相同的消息

为“instagram.com”上的来源“strangelink”自动授予存储访问权限

是否有可能以这种方式窃取用户凭据?PS所有测试都是在虚拟机上进行的,使用假账户,所以账户应该是安全的:-)

于 2021-08-30T20:16:25.537 回答