[英]Cookies and iframes, how to deal with them?
前几天,我发现iexplorer不会接受来自iframe的cookie,除非iframe提供P3P授权。 起初,我就像“ WTF?”,但今天我想知道可能发生的坏事。
例如,我有一个名为herp.com
的网站,您可以在其中使用http://herp.com/product/111/delete
删除产品(我知道这是一种不好的做法, GET
应该是独立的)。 然后,一个恶意的网站管理员会在http://derp.com
创建一个带有iframe的网站,并将其添加到http://herp.com/product/111/delete
,因此...如果我作为herp.com
登录用户,请打开derp.com
与我的浏览器...我将删除产品111吗?
我还要担心哪些问题?
提前致谢。
您应该更担心您的http GET导致删除。 您所描述的场景与在从derp.com到herp.com/product/111/delete的页面上引发重定向没有什么不同。 在这两种情况下,用户都将在不知不觉中加载herp.com,并且浏览器将自动为该站点提供任何cookie。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.