如果没有同源策略,会导致怎样的风险?
站长
· 阅读数 14
最近在学习关于同源策略相关的知识( same origin policy)。在阅读到阮一峰的相关文章后,看到一段这样的描述 原文地址
文中提到的:“设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?”
问题:假设没有同源策略,那么其他网站是通过什么方式怎样读取 A 的 cookie 呢?我没想明白?
回复
1个回答
test
2024-08-11
既然是做梦,为啥不大胆点?
所以既然都假设,没有同源策略这回事了,那么再大胆点猜测,在这个没有同源策略世界里,浏览器设计的api肯定就不一样了,比如,提供个getAllCookie的api啥的,就能拿到所有网站的cookie了.事实上,现在浏览器也能拿到不同网站cookie的,比如下图,在设置页,只是没给你提供api而已
就算没有假象中的getAllCookie这个api,没有同源策略的话.直接在其他网站使用iframe打开个银行网站的网页,用iframe.contentWindow.document.cookie不就拿到了?
回复
适合作为回答的
- 经过验证的有效解决办法
- 自己的经验指引,对解决问题有帮助
- 遵循 Markdown 语法排版,代码语义正确
不该作为回答的
- 询问内容细节或回复楼层
- 与题目无关的内容
- “赞”“顶”“同问”“看手册”“解决了没”等毫无意义的内容