rog*_*ger 7 javascript cookies cross-domain
假设有一个站点foo.com从站点加载JavaScript bar.com.现在,假设网站上的JavaScript bar.com试图使用document.cookies.我的印象是使用JavaScript,您可以阅读浏览器中设置的所有cookie,无论其来源如何.但事实证明,网站上的JavaScript bar.com只能访问由bar.com其他任何人设置的cookie .如果是这种情况,那么窃取cookie的脚本注入攻击是如何进行的?
但事实证明,来自网站bar.com的JavaScript只能访问bar.com设置的cookie而不能访问任何其他cookie.
事实并非如此.重要的是包含<script>元素的HTML文档的位置,而不是<script>在src属性中提到的JS文件的URL .
我怀疑你的问题是你在document.cookies调用属性时访问document.cookie(Singular!)
他们在受攻击的页面内加载脚本。
例如,当博客系统中的评论遭到破坏时,它们会包含一个script在页面呈现时执行的元素。此脚本可以获取 cookie 并将其发送到攻击者的服务器。
这就是为什么你永远不应该相信用户输入并在评论中至少禁止某些标签(或将每个标签翻译<为<)。但是不要在客户端这样做,因为这种预防技术很容易被规避;在服务器端测试(和更改)恶意输入。
| 归档时间: |
|
| 查看次数: |
16221 次 |
| 最近记录: |