如果我登录Facebook.com,然后在另一个选项卡登录到域x.com,它使用了一些Facebook小部件,x.com上安装的Facebook小部件如何知道我已登录Facebook并且不需要重新认证使用它?
似乎来自x.com的脚本能够读取在Facebook.com下创建的cookie,并且无法区分不能跨域读取cookie的共识。 Facebook如何规避共识?
答案 0 :(得分:3)
大多数情况下,您所谈论的小部件实际上只是<iframe>(或<object>)个标签。所以,你只是在另一个页面上看到Facebook的真实域名的一部分。 Facebook页面可以访问您的所有Facebook Cookie,因此他们可以识别您并登录您。
出于明显的安全原因,“x.com”无法访问这些Cookie。