通过不受信任的域将cookie传递给iframe(禁用第三方cookie)

时间:2016-02-12 03:36:08

标签: javascript security cryptography

这是我们遇到的情景。

让我们说:

  • 某些不受信任的域名untrusted.com
  • 我们信任的域名trusted.com,我们可以完全控制

给出了以下内容:

  • untrusted.com在其页面上有一个javascript脚本,从trusted.com加载 - 因此trusted.com可以完全控制untrusted.com
  • 此javascript文件在untrusted.com页面上创建了一个iframe,指向trusted.com
  • 用户的浏览器处于第三方Cookie禁用模式,因此iframe 无法访问trusted.com上设置的任何Cookie
  • 我们希望在iframe
    • 中提供来自trusted.com的会话Cookie
  • 我们绝对不允许untrusted.com查看此会话Cookie的价值
  • 我们无法加密并通过untrusted.com传递,因为这样可以untrusted.com拦截并重播

所以问题是,我们如何通过以下方式获得会话cookie:

a)我们100%确定untrusted.com 没有重播

b)我们100%确定untrusted.com 无法读取 Cookie的原始值

0 个答案:

没有答案
相关问题
最新问题