JavaScript 和第三方 cookie

Question

假设有一个网站 foo.com，它从网站 bar.com 加载 JavaScript。现在，假设来自 bar.com 站点的 JavaScript 尝试使用 document.cookies 读取 cookie。我的印象是，使用 JavaScript，您可以读取浏览器中设置的所有 cookie，无论其来源如何。但事实证明，来自 bar.com 网站的 JavaScript 只能访问 bar.com 设置的 cookie，而不能访问任何其他网站。如果是这样的话，窃取cookie的脚本注入攻击是如何进行的呢？

Answer 1

但事实证明，bar.com 网站的 JavaScript 只能访问 bar.com 设置的 cookie，而不能访问其他网站。

那不是真的。重要的是包含

我怀疑您的问题是，当属性名为 document.cookie （单数！）时，您正在访问 document.cookies

Answer 2

他们在受攻击的页面内加载脚本。

例如，当博客系统中的评论受到损害时，它们会包含一个在呈现页面时执行的 script 元素。该脚本可以获取cookie并将其发送到攻击者的服务器。

这就是为什么您应该永远相信用户输入，并且至少不允许在评论中使用某些标签（或者将每个 < 翻译为 <）。但不要在客户端这样做，因为这种预防技术很容易被绕过；在服务器端测试（并更改）恶意输入。

Answer 3

您只能访问为给定域名设置的cookie。来自 关于 cookie 的维基百科文章：

除了名称/值对之外，还有一个 cookie
还可能包含到期日期、
路径、域名以及是否
cookie 仅用于加密
连接。 RFC 2965 强制要求 cookie
有版本号，但这是
通常省略。这几条数据
遵循 name=newvalue 对并且是
用分号分隔。例如，
服务器可以创建一个cookie
通过发送一行 Set-Cookie：
名称=新值；过期=日期；路径=/；
域=.example.org。

域名和
路径告诉浏览器该cookie
必须发送回服务器时
请求给定域的 URL 以及
小路。如果没有指定，则默认
到对象的域和路径
这是所要求的。结果，
域和路径字符串可能会告诉
浏览器发送 cookie
通常不会。为了安全
原因，仅接受cookie
如果服务器是成员
由域字符串指定的域。

如果 foo.com 发送了一个域名为 bar.com 甚至 .com 的 cookie，则 上的 JavaSCript 代码bar.com 可以读取该 cookie。然而，大多数浏览器被配置为仅在域名匹配时接受 cookie，并且会拒绝此类 cookie。