“将cookie与文件方案URL一起使用可能是不安全的,并且默认情况下是关闭的。除非您确定不会发生无意的cookie数据共享,否则不要使用此功能。” 但为什么?我在最后一小时用谷歌搜索了它,但是不了解攻击向量
首先,如果您浏览网站https://example.com并尝试打开foobarscheme://example.com,那么我可以将所有Cookie发送到未知应用程序,但我现在不确定< / p>
答案 0 :(得分:0)
file:网址可以引用JavaScript代码。该JavaScript代码可以设置cookie,其他file: JS代码(即使来自不同的文件)也可以访问,因为它们被视为&#34;相同的来源&#34;。