Đọc cookie từ một miền khác

Question

Tôi đang phát triển một trang/biểu mẫu cho một chiến dịch trong công ty của tôi. Tuy nhiên, bước đầu tiên là kiểm tra xem người đó có đăng nhập hay không. Điều này dễ dàng được kiểm tra đối với cookie - CUSTOMER - được đặt khi họ đã đăng nhập.

Tuy nhiên: 1) Tôi đang phát triển tại địa phương, không thuộc cùng một tên miền, và kết quả là không thể thấy cookie đó 2) Chiến dịch cuối cùng có thể hoặc không thể kết thúc trên miền thực tế. Họ có thể kết thúc bằng cách sử dụng một URL vanity hoặc một cái gì đó.

Vì mục đích này, giả sử tôi KHÔNG có quyền truy cập vào miền chính nơi cookie được đặt.

Tôi làm cách nào để đọc cookie đó khỏi miền? Ồ, và bởi vì mọi người IT không cho phép chúng tôi chạm vào số điện thoại sau càu nhàu, nó phải là một giải pháp JS.

Cảm ơn!

Answer 1

Bạn không thể.

Các cookie duy nhất bạn có thể đọc với JavaScript phía máy khách là những cookie thuộc về máy chủ của tài liệu HTML mà trong đó <script> được nhúng.

Bằng cách đặt withCredentials bạn có thể hỗ trợ cookie trong yêu cầu gốc, nhưng chúng được trình duyệt một cách minh bạch bởi trình duyệt và JS không có quyền truy cập trực tiếp vào chúng (thông số XHR đi xa tới explicitly ban getAllResponseHeaders from reading cookie related headers). Cách duy nhất để yêu cầu có nguồn gốc chéo để truy cập vào cookie là dành cho máy chủ (mà bạn nói bạn không có quyền truy cập) để sao chép dữ liệu vào nội dung hoặc tiêu đề phản hồi khác).

Answer 2

Bạn có thể nếu bạn có thể cài đặt các thành phần phía máy chủ.

Bạn có thể sử dụng tên miền dành riêng để lưu trữ cookie của bạn và sau đó chia sẻ nó bằng cách sử kĩ thuật XSS

Khi dom1.foo.com bản ghi trong sau đó bạn đăng ký một cookie trên cookie.foo.com sử dụng một cuộc gọi Ajax XSS sau đó khi bạn đi trên dom2.foo.com bạn phải truy vấn cookie.foo.com với api XSS bạn

tôi đã chơi với nó một thời gian trước https://github.com/quazardous/mudoco/blob/master/mudoco/README.txt nó chỉ là một số loại POC ..