极客观点
项目管理
HarmonyOS
如标题描述:同源策略为了减少xss\CSRF等攻击,但是通过这些是可以获得用户cookie的,还是造成了信息泄露,为什么不限制这些标签呢?
cookies 不受同源策略限制,主要是历史原因,因为 cookies 在同源策略之前的广泛使用了,直接限制会有兼容性问题,所以后来有了更灵活的 Content-Security-Policy,网站可以自己定制需要的策略。
可以获得用户 cookie
“用户” cookies 是什么?
例如我在 a.com 设了 cookies A=1,然后引用一个 b.com 的图片,那 b.com 的服务端能获取到 A 这个 cookies 吗?
答:不行的,因为 cookies 是分域名发送的,浏览器请求 b.com 的图片时是不会把 a.com 的 cookies 发到 b.com 的服务端。
但是 b.com 自己设的 B=2,b.com 的服务端是可以获取到的(就是这样实现了广告跟踪)。
因为 cookies 本来就是按域名限制的,加载资源(图片、样式、脚本)是不会泄漏“用户 cookies”,只是有隐私问题(广告跟踪)。
(当然脚本比较特殊,需要设置 cookie 的 HTTP Only 属性,禁止脚本访问 cookies。更严格网站的还会通过 Content-Security-Policy 限制跨域 XHR 发送、限制加载脚本)
另外,就算没有 cookies,CDN、负载均衡还是可以做的,所以这些不是主要原因。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
js 如何将Key属性相同的放在同一个数组?
{代码...} 说明:id和name是动态的,有可能后台返回的是age和school,不是固定id和name想要的结果是; {代码...}13 回答12.9k 阅读
如何防止接口的 key 泄露?
目前有一个小程序,功能上比较简单,但是需要调用其他平台提供的 AI 相关接口。为了节省服务器费用,想直接在前端请求接口,但是这样就会暴露接口的 key。有没有其他办法可以防止 key 泄露? 或者默许 key 可能的泄露,然后实时监控接口的使用量,这种方式是否可行?8 回答2.7k 阅读
字节的 trae AI IDE 不支持类似 vscode 的 ssh remote 远程开发怎么办?
尝试一下字节的 trae AI IDE ([链接])安装后导入 vscode 的配置,好像一起把 vscode 的插件也导入了也能看到 vscode 之前配置的 ssh remote 但是连不上看到「输出」如下⬇️ {代码...}2 回答5.1k 阅读✓ 已解决
在购买页面,这里有: for 1 month, for 3 months,这里说的意思是什么呢?
请问:在购买页面,这里有: for 1 month, for 3 months,这里说的意思是什么呢?5 回答1.3k 阅读
请问开发React Native,一般是推荐哪个主流的UI库呢?
请问开发React Native,一般是推荐哪个主流的UI库呢?我们知道React有antd,但是React Native的话好像React Native Mobile RN不是最主流的。3 回答2.3k 阅读✓ 已解决
快开发完的Vue3项目要做SEO该如何处理?
快开发完的Vue3项目要做SEO该如何处理?项目已经快开发完了,领导让做SEO,目前的需求是首页做SEO,其他页面不需要优化去论坛上查了一下,发现好多针对Vue的SEO库都过时弃用了,大家有什么好用的库推荐吗?5 回答1.5k 阅读✓ 已解决
浏览器跨域请求带不上 cookie(已经设置了携带 cookie),是为什么?
从站点 a 请求 b 域名的接口,带不上 cookie,前后端均已经设置了携带 cookie前端(axios 设置 withCredentials)后端(设置 Access-Control-Allow-Credentials)但是从 c 站点,或者本地 localhost 发起请求却可以带上 cookie求指导是遗漏了哪里的配置5 回答3.3k 阅读
不能完全限制,否则 CDN 和基于 Cookie 的负载均衡就没法做了,还有众多赖以生存的搜索引擎广告主也没法活了(谷歌自己就是全球最大的广告主,你说它能自己阉割自己吗)。
正因为如此,所以 Cookie 才引入 HTTP Only 来解决你说的问题啊。