如果我在我的网站上引用了外部第三方JavaScript文件,那么安全隐患是什么? JavaScript文件可以用来窃取cookie吗?
其中一个例子是Google AnalyticsJavaScript参考文件。
第三方是否可以从我的登录用户(XSS)技术上窃取cookie或任何其他敏感信息?
整个跨域脚本有时让我感到困惑。
谢谢!
答案 0 :(得分:3)
是的,外部JavaScript可以执行您自己的脚本可以执行的任何操作。这包括阅读cookie,更糟糕的是:根据访问者的行为做事。
只包含您真正信任的外部网站的JavaScripts。