是否可以在iframe设置的第一方Cookie中加载任何代码?
例如我有一个网站:www.my-website.com,出于合法目的,我需要从第三方提供商www.third-party-site.com加载一些内容。但是(出于明显的安全原因),我不希望它们能够设置(或读取)任何第一方Cookie(即,域名为www.my-website.com的Cookie-欢迎他们设置其第一方的Cookie)自己的域名www.third-party-site.com)。
在某些条件下上述可能性还是完全不可能:
我的理解是,这根本不可能,SO等方面的大多数答案似乎都支持这一点-但是,有些人指出了Facebook在某些情况下对此有解决方法的示例。因此,需要澄清。
>答案 0 :(得分:0)
根据设计,没有。这并不是说尚未找到解决方法,或者说过去的错误已允许这样做,但是它们是非常多的错误,不是您应该期待或尝试使用的东西-将第一方Cookie泄漏给第三方将被视为一个重大的安全问题。
为减少曝光,应确保设置了适当的cookie标志:Secure
,以防止cookie通过不安全的链接发送; httponly
,以防止javascript访问它们;如果可用,samesite
,以防止CSRF攻击。您还应该设置HTTP标头来控制自己网站的框架,以避免点击劫持,而其他标头(如CSP)则可以更严格地控制源。
有一种非常简单的方法来避免第三方Cookie的所有负面影响:没有。没有它们,可能会做很多事情,这意味着您可能不需要显示Cookie通知或征求同意。
由于您要提出一个抽象的问题,因此在Security Stack Exchange上可能会得到更好的答案。