我正在学习网络安全,最近了解了同源政策。什么阻止攻击者创建自己的网站并在他们的网站上放置一些javascript来检索所有访问者的cookie(对于其他网站)。这些cookie存储在浏览器中,可以使用javascript或php检索,对吗?如果可以的话,对此有什么防御(除了不访问用户的网站之外)。
答案 0 :(得分:2)
网络服务器没有"检索"来自浏览器的cookie。当浏览器向服务器发送HTTP请求时,它会自动包含先前从该服务器自己的域接收的cookie 。发送Cookie是由浏览器控制的,而不是服务器,并且浏览器不会将从域A收到的cookie发送到域B中的服务器。