第三方cookie的 - 從其他域

Question

我創建第三方的cookie <img src="http://example.com/test.php" />

test.php的閱讀：

if($_GET['r']) { 
    header('Content-type: image/gif'); 
    // echo transparent 1x1 pixel 
    exit; 
} else { 
    setcookie('name', md5(time()), time()+60*60*24*30, '/'); 
    $url = 'http://example.com/test.php?r=1'; 
    header('Location: '.$url); 
    exit; 
} 

此代碼創建第三方的Cookie。是否有任何方法通過JavaScript從不同於example.com的域中讀取創建的cookie？

Answer 1

否。JavaScript只能訪問當前文檔的Cookie，而不是其任何依賴項。

如果情況並非如此，那麼作者可以從任何您可能擁有賬戶的網站加載圖片，使用JavaScript讀取cookie，將Ajax加載到其服務器，然後獲取當前登錄令牌的副本該網站。這將是一個巨大的安全漏洞。