Доступ к значению cookie через адресную строку

Question

Доступ к значению cookie через адресную строку

Допустим, у пользователя на моем сайте есть файл cookie с другого сайта, и я знаю его имя. По сути, я пытаюсь дать пользователям ссылку на адресную строку, а вместе с ней и код Javascript, который будет активировать значение этого файла cookie(давайте назовем этот файл cookie "Джо"). Например:

Мой сайт даст пользователю эту ссылку: examplesite.com/page=(здесь есть код, который активирует определенное значение cookie с помощью javascript или чего-то еще)

результат должен быть примерно таким после чтения значения: examplesite.com/page=54 (допустим, значение cookie было 54).

Я не могу сделать это с помощью обычного скриптинга, так как не могу контролировать cookie-файлы examplesite.com (мне не принадлежит этот сайт). Итак, я решил, почему бы не дать пользователям ссылку, по которой браузер будет думать, что пользователь запросил учет этих файлов cookie(и это действительно так, поскольку он их вставляет), а не какой-то случайный веб-сайт. Тогда все, что нужно сделать пользователю, это вставить его в адресную строку, и адресная строка активирует его... Я не уверен, что это даже возможно. Любой ответ будет оценен.

0

javascript cookies address-bar

Источник

user1938653 21 апр '13 в 19:54

1 ответ

Другие вопросы по тегам javascript cookies address-bar

user22514 21 апр '13 в 22:46 2013-04-21 22:46 · Answer 1 · 2013-04-21 22:46

До появления Firebug и других инструментов для разработки браузеров я использовал следующую строку в строке URL, чтобы увидеть файлы cookie сайтов:

javascript:alert(document.cookie)

Итак, я просто зашел на google.com, а затем попробовал это с Firefox 19, Chrome 26 и Safari 6 на моем Mac (OS X 10.8).

Хром дай мне набрать javascript:alert(document.cookie), но когда я вставляю его в адресную строку, он удаляет javascript: и просто вставил alert(document.cookie), который запустил поиск в Google.

Safari предупредил файлы cookie при вставке, но Firefox не позволял ни вставлять, ни печатать.

Эти результаты были прямым вводом пользователя и имели смешанные результаты. При наличии ссылки с другого сайта и всех проблем безопасности, связанных с междоменными доменами, это не сработает. Если вы думаете об этом, это действительно еще одна форма атаки межсайтового скриптинга (XSS).