|
锁定老帖子 主题:淘宝如何跨域获取Cookie分析
精华帖 (13) :: 良好帖 (16) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2011-05-10
最后修改:2011-05-10
clue 写道 denger 写道 DT1 写道 我觉得使用Referer解决不了根本的问题,顶多就是防止一些钓鱼网站直接使用JS取信息,
其实可以参考SSO实现,使用JS是取得一个Token,然后再从当前服务在后台跟内部认证服务器认证取得真实的用户名, 这样是不是更可靠些? 是的,我测试了,我通过 flex/HTTPService 同样还是可以 伪造 Refere ,同样可以获取到用户名。 自己能访问到并不是安全隐患,这个消息也并不是针对你自己也敏感的网站内部数据,它只是将你在其域名下的cookie输出而已 但如果你写的flash可以在别人访问时不知道的情况下伪造Referrer,并将它收集起来,那才是有问题。 就像你把你自己的电脑系统的远程端口打开了,人人都能访问它,但这并不代表别人用这个系统也不安全, 你始终只是访问到“你可以访问”的数据而已。 flex是可以运行在客户端\浏览器的呀,你不知道?你以为我是类似java一样,在本地写一个 main方法通过httpclient去访问自己的cookie? 比如说我有一个网站 www.xx.com ,我在这个网站中偷偷的的将该flash放在网页中,并隐藏。然后我把这个网页发给你,试问,我能不能获取在你的 taobao cookie中的信息呢? 说白了就是只要我能让协造 Refere的程序运行在你的机器上,就能收集到cookie信息,java/applet 都行, 还别说flash了... |
| 返回顶楼 | |
|
发表时间:2011-05-10
最后修改:2011-05-10
denger 写道 flex是可以运行在客户端\浏览器的呀,你不知道?你以为我是类似java一样,在本地写一个 main方法通过httpclient去访问自己的cookie? 比如说我有一个网站 www.xx.com ,我在这个网站中偷偷的的将该flash放在网页中,并隐藏。然后我把这个网页发给你,试问,我能不能获取在你的 taobao cookie中的信息呢? 说白了就是只要我能让协造 Refere的程序运行在你的机器上,就能收集到cookie信息,java/applet 都行, 还别说flash了... flash及applet能随意伪造Referrer并且不会有安全警告或要求授权之类的提示? 那还真没办法了,只能前端传递ticket,服务端再自行读取了。 P.S. 怎么我听说flash的所有请求都是不带Referrer的?导致那些视频站什么的比较难做防盗链。比较小白,求解 |
| 返回顶楼 | |
|
发表时间:2011-05-10
最后修改:2011-05-10
clue 写道 denger 写道 flex是可以运行在客户端\浏览器的呀,你不知道?你以为我是类似java一样,在本地写一个 main方法通过httpclient去访问自己的cookie? 比如说我有一个网站 www.xx.com ,我在这个网站中偷偷的的将该flash放在网页中,并隐藏。然后我把这个网页发给你,试问,我能不能获取在你的 taobao cookie中的信息呢? 说白了就是只要我能让协造 Refere的程序运行在你的机器上,就能收集到cookie信息,java/applet 都行, 还别说flash了... flash及applet能随意伪造Referrer并且不会有安全警告或要求授权之类的提示? 那还真没办法了,只能前端传递ticket,服务端再自行读取了。 P.S. 怎么我听说flash的所有请求都是不带Referrer的?导致那些视频站什么的比较难做防盗链。比较小白,求解 我这里说的是 flex噢... http://www.abdulqabiz.com/blog/archives/2006/03/03/http-authentication-for-httpget-requests-using-actionscript-3/ http://code.google.com/p/as3httpclient/ |
| 返回顶楼 | |
