我知道如何写cookie并经常这样做,但这次我有不同的情况。
在这个网站上,用户可以启用自动登录,基本上可以使用密码和用户名保存加密的cookie,然后使用这些登录。
登录后,他们将被用于他们使用的其他网站/域名,直到注销。
当iframed到其他网站/域时,他们可以选择启用/禁用自动登录。 我已经设置了一个PHP CURL调用,它将设置或删除密码cookie所需的信息发送回登录域。
问题是我似乎无法更新我目前没有在浏览器中查看的域的cookie。有没有人知道用户是否必须查看域以为其编写cookie,或者他们是否可能在另一个域上并使用CURL调用更新cookie以用于以前在其他域上的域名?
THX
答案 0 :(得分:0)
不,你不知道怎么写cookies。
使用密码和用户名
保存加密的Cookie
所以你将用户暴露给MITM,重放和强力解密攻击。
当iframed到其他网站/域时,他们可以选择启用/禁用自动登录。我已经设置了一个PHP CURL调用,它将设置或删除密码cookie所需的信息发送回登录域。
因此cookie被绑定到呈现iframe的网站(称之为www.front.com)。然而,身份验证适用于iframe中的网站(称之为www.back.com):这意味着存储在www.front.com cookie中的信息很少但非常精细/复杂的方式被传输到www.back.com网站。
问题是我似乎无法更新我目前没有在浏览器中查看的域的cookie
如果您已经解决了将cookie数据安全地发送到www.back.com的问题,那么解决方案应该是显而易见的
你真的把自己画成了一个角落。对此的解决方案并不明显意味着您没有解决访问网站所固有的安全问题,直到您想要取消设置cookie。我强烈建议你从头开始 - 或者至少试着解释你在这里想要实现的目标。