c'è un modo per ottenere il cookie da un'altra scheda o il genitore di iframe nei browser?

-2

Mi è stato assegnato un compito per trovare un modo efficace per evitare a Windows e ai browser Android lo stesso criterio di origine di poter ottenere il cookie di una scheda aperta nel browser della vittima (come Gmail o ... cookie). ma per quanto ho cercato e letto su questo sembra che non ci sia in realtà alcun modo per farlo. anche se ci sono alcuni modi per aggirare il SOP (CORS, document.domain, ...) ma non sono abbastanza pratici da prendere il cookie di un'altra scheda aperta. (Devo dire che non voglio usare l'uomo nel mezzo della rete per scegliere i cookie).

tuttavia sappiamo che ci sono molti attaccanti che usano SOP Bypassing per i cookie dei ladri dai browser. voglio sapere se c'è comunque qualcosa da fare?

    
posta Mohammad Siavashi 15.07.2016 - 19:52
fonte

1 risposta

2

Stai confondendo CORS con SOP.

CORS abilita la condivisione di risorse Cross Origin (a meno che non sia autorizzato dal ricevitore), mentre SOP garantisce l'accesso ai dati dalla stessa origine che lo ha creato. Quindi da CORS non puoi accedere ad altri dati di Tab / Frame, a meno che tu non possa eseguire JavaScript lì. Altro su CORS & SOP.

Non è possibile attraversare SOP, a meno che tu non abbia disattivato tale funzione o il browser presenta un bug specifico che espone i dati.

    
risposta data 15.07.2016 - 21:04
fonte

Leggi altre domande sui tag