代码(第三方)iframe是否可以设置第一方Cookie?

时间:2018-10-26 19:47:50

标签: cookies iframe privacy

是否可以在iframe设置的第一方Cookie中加载任何代码?

例如我有一个网站:www.my-website.com,出于合法目的,我需要从第三方提供商www.third-party-site.com加载一些内容。但是(出于明显的安全原因),我不希望它们能够设置(或读取)任何第一方Cookie(即,域名为www.my-website.com的Cookie-欢迎他们设置其第一方的Cookie)自己的域名www.third-party-site.com)。

在某些条件下上述可能性还是完全不可能:

  • iframe是否未沙盒化?
  • 如果加载了iframe代码,则说一幅包含标题Cookie的图像
  • 还有其他条件吗?
  • 某些浏览器允许与其他浏览器不允许?

我的理解是,这根本不可能,SO等方面的大多数答案似乎都支持这一点-但是,有些人指出了Facebook在某些情况下对此有解决方法的示例。因此,需要澄清。

>

1 个答案:

答案 0 :(得分:0)

根据设计,没有。这并不是说尚未找到解决方法,或者说过去的错误已允许这样做,但是它们是非常多的错误,不是您应该期待或尝试使用的东西-将第一方Cookie泄漏给第三方将被视为一个重大的安全问题。

为减少曝光,应确保设置了适当的cookie标志:Secure,以防止cookie通过不安全的链接发送; httponly,以防止javascript访问它们;如果可用,samesite,以防止CSRF攻击。您还应该设置HTTP标头来控制自己网站的框架,以避免点击劫持,而其他标头(如CSP)则可以更严格地控​​制源。

有一种非常简单的方法来避免第三方Cookie的所有负面影响:没有。没有它们,可能会做很多事情,这意味着您可能不需要显示Cookie通知或征求同意。

由于您要提出一个抽象的问题,因此在Security Stack Exchange上可能会得到更好的答案。