我知道我们可以获取子级或父级iframe文档,然后在没有同源策略的情况下恶意修改dom树。 Cookie需要设置域名。
我读了一篇文章Why is the same origin policy so important?。 这部分让我很困惑。
假设您已登录Facebook并在另一个浏览器标签中访问恶意网站。如果没有相同的原始政策,该网站上的JavaScript可以对您允许的Facebook帐户执行任何操作。例如,在提交表单之前输入密码后,阅读私人消息,发布状态更新,分析HTML DOM树。
怎么做?我的意思是攻击另一个浏览器选项卡并获取其文档。
答案 0 :(得分:1)
怎么做?我的意思是攻击另一个浏览器选项卡并获取其文档。
你不能。同源政策存在!该引言描述了如果它没有发生可能会发生什么。