Từ những gì tôi hiểu document.cookie chỉ nhận cookie của bạn cho trang web hiện tại bạn đang truy cập. Nó sẽ có thể cho một trang web độc hại để có được xung quanh này bằng cách sử dụng một iFrame, sửa đổi tiêu đề HTTP của tôi, làm cho một yêu cầu đến trang web mục tiêu hoặc một số phương pháp khác?Có thể một trang web độc hại đánh cắp cookie của tôi từ một trang web khác không?
DNS Rebinding thể được sử dụng để bỏ qua Cùng xứ Policy (SOP) được sử dụng bởi các trình duyệt để ngăn chặn một trang web đọc dữ liệu trang web khác như cookie, dom vv
Here là một video tuyệt vời để tìm hiểu cách thức hoạt động và cách ngăn chặn nó.
Những kỹ thuật này nói chung sẽ không hoạt động. Khung nội tuyến từ chối quyền truy cập có lập trình vào các thuộc tính như nội dung trang và cookie cho các trang trên một tên miền khác. Tương tự, các yêu cầu HTTP Javascript chỉ được phép cho cùng một miền với trang yêu cầu.
Tại sao bạn nói chung? Điều này có thể xảy ra nếu tôi đang sử dụng một trình duyệt cũ hoặc một cái gì đó? – Gilbo
JavaScript và HTML là các tiêu chuẩn; trình duyệt web thực hiện chúng một cách khác nhau và một số có thể không chú ý đến an toàn. Tuy nhiên, người ta sẽ khó có thể tìm thấy một bản phát hành gần đây của một trình duyệt web hiện đại mà không cần kiểm tra như vậy. – Aardsquid
Khôi phục DNS đã chết. – rook
Tại sao bạn nói @Rook? –
Vì nó không chết. – nagytech