说,我有一个使用DomainB.com的java脚本文件的DomainA.com网站。现在,当用户执行某些操作时我需要存储我可以从DomainB.com访问的数据,所以我开始从domainB.com加载的javascript文件中设置cookie,cookie存储在domainA.com而不是domainB中.COM。 我被限制使用javascript来使用客户端存储(如cookie或本地存储)来存储数据。在这种情况下,我应该如何在domainB.com上存储数据?
答案 0 :(得分:0)
如果您只能访问JS(不是Flash,Silverlight,Java等),并且您根本无法访问服务器端存储过程,那么实际上没有任何方法可以存储和检索一个域上的数据,用于另一个域。
这是设计的。
您目前要求的内容对于让开发人员的生活更轻松非常有帮助,但它也可以让每个人从黑客到数据挖掘者的生活变得非常轻松,他们可以保存您正在做的所有事情在他们的域名之外的一个地方,然后下次你在他们的域名(一个广告,也许运行注入的JS),他们可以从你所有的网站获取所有这些数据在......
不太好。
并不是说防止这种行为解决了注入脚本窃取数据的问题,在安全性较差的网站上等等,以至于允许这种行为使得这样做不公平,并且无法防范