网站免登陆时怎么实现的? 

mj4738 发布于 2013/05/28 10:25
阅读 2K+
收藏 1

@红薯  @彭博

 很多人说利用cookie保存加密后的密码和用户ID,当再次访问网站时服务器提取cookie的用户ID和密码,如果通过验证,则不需要重新输入账号和密码。

oschina好像就是这么实现的。当登录oschina时候,如果勾选”记住我的状态“,则登录成功后,浏览器就会记下一个oscid,当再次访问oschina的时候,估计oschina服务器会提取这个oscid进行身份验证,如果通过验证,则不需要重新登录。如果删除该cookie ,那么下次再访问oschina就需要重新登录了。

我的疑问是:假设网站A不存在任何漏洞,但网站A挂了网站C的广告,而网站C存在XSS漏洞,那么黑客就能通过注入JS脚本窃取用户的cookie,从而以该用户的身份登录网站A。 这么说“网站免登陆”功能是否存在先天安全隐患?除非网站A不植入第三方的广告或页面 


加载中
0
酒逍遥
酒逍遥
cookie 不能跨域读取
0
mj4738
mj4738

引用来自“酒逍遥”的答案

cookie 不能跨域读取
假设网站C能被注入js脚本,那么就可以通过js构造出一个iframe指向网站A,从而能读取到网站A的cookie,对不对?
0
酒逍遥
酒逍遥

是可以构造 iframe指向 网站A  但是 你要获取 网站A 的cookie 依然是跨域的.

因为你的 js 始终是在 网站C 上 而不是 网站A 上

返回顶部
顶部