Da quello che ho capito, document.cookie ottiene solo i cookie per il sito corrente in cui ti trovi. Sarebbe possibile per un sito dannoso aggirare questo problema utilizzando un iFrame, modificando la mia intestazione HTTP, facendo una richiesta al sito di destinazione o qualche altro metodo?È possibile che un sito Web dannoso rubi i miei cookie da un altro sito Web?
DNS Rebinding può essere utilizzato per bypassare stessa politica di origine (SOP) utilizzata dai browser per evitare che un sito web, la lettura di altri dati di siti web come i biscotti, dom ecc
Here è un bellissimo video per imparare come funziona e come impedirlo.
Queste tecniche in generale non funzioneranno. Gli iframe negano l'accesso programmatico a proprietà come il contenuto della pagina e i cookie per le pagine su un dominio diverso. Allo stesso modo, le richieste HTTP Javascript sono permesse solo allo stesso dominio della pagina richiedente.
Perché dici in generale? Questo può accadere se sto usando un vecchio browser o qualcosa del genere? – Gilbo
JavaScript e HTML sono standard; i browser Web li implementano in modo diverso e alcuni potrebbero non prestare attenzione alla sicurezza. Tuttavia, sarebbe difficile trovare una versione recente di un browser Web moderno senza tali controlli. – Aardsquid
DNS Rebinding is dead. – rook
Perché dici che @Rook? –
Perché non è morto. – nagytech