前几天我发现iexplorer不接受来自iframe的cookie,除非iframe提供P3P授权。起初,我就像“WTF?”,但今天我想知道可能发生的坏事。
例如,我有一个名为herp.com的网站,您可以在其中删除http://herp.com/product/111/delete的产品(我知道这是一种不好的做法,GET应该是无能为力的)。然后,恶意网站管理员在http://derp.com中创建一个网页,其中iframe为http://herp.com/product/111/delete,因此...如果我作为herp.com中的已登录用户,请使用我的浏览器打开derp.com。 ..我会删除产品111吗?
我应该害怕哪些问题?
提前致谢。
答案 0 :(得分:1)
你应该更害怕你的http GET导致删除。您描述的方案与从derp.com到herp.com/product/111/delete的页面上重定向没有多大区别。在任何一种情况下,用户都会在不知情的情况下加载herp.com,浏览器会自动为该网站提供任何cookie。