假设有一个站点 foo.com 从站点 bar.com 加载 JavaScript。现在,假设来自站点 bar.com 的 JavaScript 尝试使用 document.cookies 读取 cookie。我的印象是,使用 JavaScript,您可以读取浏览器中设置的所有 cookie,而不管它们的来源。但事实证明,bar.com 站点的 JavaScript 只能访问 bar.com 设置的 cookie,而不能访问任何其他站点。如果是这样,窃取 cookie 的脚本注入(inject)攻击是如何进行的?
最佳答案
But it turns out that the JavaScript from the site bar.com can only access cookies set by bar.com and not any other.
那不是真的。重要的是包含 <script> 的 HTML 文档在哪里元素是,而不是说 <script> 的 JS 文件的 URL在 src 属性中提及。
我怀疑您的问题是您正在访问 document.cookies当属性被调用时 document.cookie (单数!)
关于JavaScript 和第三方 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3363495/