我正在使用<img src="http://example.com/test.php" />
test.php的:
if($_GET['r']) {
header('Content-type: image/gif');
// echo transparent 1x1 pixel
exit;
} else {
setcookie('name', md5(time()), time()+60*60*24*30, '/');
$url = 'http://example.com/test.php?r=1';
header('Location: '.$url);
exit;
}
此代码创建第三方Cookie。是否有任何方法可以通过javascript从example.com以外的其他域读取创建的cookie?
答案 0 :(得分:3)
没有。 JavaScript只能访问当前文档的cookie,而不能访问其任何依赖项。
如果情况并非如此,则作者可以从您可能拥有帐户的任何网站加载图像,使用JavaScript读取cookie,将Ajax读取到其服务器,然后获取当前登录令牌的副本现场。这将是一个巨大的安全漏洞。