如果没有同源策略,会导致怎样的风险?-灵析社区

Frank的私人司机

最近在学习关于同源策略相关的知识( `same origin policy`)。在阅读到阮一峰的相关文章后,看到一段这样的描述 [原文地址](https://link.segmentfault.com/?enc=CSodcEHRHN5kbIl8wxEBvQ%3D%3D.b38kWJCXn56Dt%2Ft8tPvEzl8H%2BBS0ncIK2z8nYq%2FDbGrFAVHMLZ2kixzTB3FmOwSpI7V%2F5%2FH%2Fd%2FvinnpwS%2BazEA%3D%3D) ![image.png](https://wmprod.oss-cn-shanghai.aliyuncs.com/c/user/20240919/52efb4f68d4dc3a43f24362dd4ef7ecd.png) 文中提到的:**“设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?”** **问题** :假设没有同源策略,那么其他网站是通过什么方式怎样读取 A 的 cookie 呢?我没想明白?

阅读量:177

点赞量:0

问AI
既然是做梦,为啥不大胆点? 所以既然都假设,没有同源策略这回事了,那么再大胆点猜测, 在这个没有同源策略世界里,浏览器设计的api肯定就不一样了, 比如,提供个"getAllCookie"的api啥的,就能拿到所有网站的cookie了. 事实上,现在浏览器也能拿到不同网站cookie的, 比如下图,在设置页,只是没给你提供api而已 "image.png" (https://wmprod.oss-cn-shanghai.aliyuncs.com/c/user/20240919/e24384ee3872814fbebd8d15d64151ce.png) *** 就算没有假象中的"getAllCookie"这个api,没有同源策略的话. 直接在其他网站使用"iframe"打开个银行网站的网页,用"iframe.contentWindow.document.cookie"不就拿到了?