我有一个网站,其中包含一个用于HTTPS的SSL站点,但它位于不同的服务器上。
的例子我的网站:
http://example.com
我的SSL网站:
https://myhostingcompany.com/~myuseraccount/
所以我可以通过HTTPS进行交易,我们拥有用户帐户和所有内容,但它位于不同的域中。 Cookie域是为该域设置的。
有没有办法可以查看我的实际网站,看看是否为另一个网站设置了Cookie?并且可能获取其数据并授权用户?
我认为这违反了一项主要的安全原则,并且无法有充分的理由,但我错了吗?这有可能吗?
答案 0 :(得分:2)
您可以在任一站点上设置服务,以通过HTTP POST请求处理RPC。您可以要求某些只能由您的站点创建的会话。但是,在HTTPS站点上通过该共享会话访问的任何内容都无法保证机密性或完整性。