标签: security cookies cross-domain session-cookies spoofing
与拥有域名的第三方合作,例如abc.com
我们正在构建托管在其他域上的Web应用程序。例如xyz.com
第三方负责身份验证。 他们的用户将向xyz.com提出请求,通过abc.com代理。
他们要求我们通过以下方式授权请求:
检查是否存在来自其域的会话cookie - abc.com(我们无法解码cookie,验证它,因此值可以是任何值。)
当请求转发给我们时,他们还会提供用户名
这安全吗?
黑客是否可以通过abc.com欺骗cookie并直接转到xyz.com?