Cookie和iframes，如何處理它們？

Question

有一天，我發現iexplorer不接受來自iframe的cookie，除非iframe提供P3P授權。起初，我就像是「跆拳道？」，但今天我想知道可能發生的不好的事情。例如，我有一個網站名爲herp.com，在那裏你可以刪除一個產品http://herp.com/product/111/delete（我知道這是一個不好的做法，GET應該是獨特的）。然後，一個惡意網站管理員創建一個網頁http://derp.com與iframe到http://herp.com/product/111/delete，所以...如果我作爲登錄用戶在herp.com，打開derp.com與我的瀏覽器...我會刪除產品111？

我應該害怕哪些問題？

在此先感謝。

Answer 1

你應該更害怕你的http GET導致刪除。您所描述的場景與從derp.com到herp.com/product/111/delete的頁面上投放重定向沒有多大區別。在這兩種情況下，用戶都會不知不覺地加載herp.com，瀏覽器將自動爲該網站提供任何cookie。