假设我的网站上的用户有来自其他网站的cookie,并且我知道cookie的名称。基本上我想要做的是给用户一个地址栏的链接,并用它来激活该cookie的值的Javascript代码(让我们称这个cookie为“乔”)。例如:通过地址栏访问cookie的值
我的网站会给用户点击此链接:Examplesite.com/page=(here是将激活JavaScript或一些特定的Cookie值)
输出将是什么代码在阅读值:Examplesite.com/page=54(可以说cookie的值是54)之后这样做。
因为我无法控制Examplesite.com cookies(我不拥有该网站),所以我无法使用普通脚本。所以我想,为什么不给用户一个链接,浏览器会认为用户请求对这些cookie进行处理(这实际上是真的,因为他正在粘贴它),而不是一些随机的网站。然后,所有用户将要做的就是将其粘贴到地址栏中,地址栏将激活它......我不确定这甚至是可能的。任何答案将不胜感激。
Firebug等浏览器的开发工具出现之前,我曾经键入以下在URL栏中看到站点的cookie:
javascript:alert(document.cookie)
所以,我刚刚去到google.com,然后试图这与我的Mac(OS X 10.8)上的Firefox 19,Chrome 26和Safari 6完全兼容。
铬让我键入javascript:alert(document.cookie),但是当我将其粘贴到地址栏,它剥夺了javascript:和刚刚粘贴alert(document.cookie),跑谷歌搜索。
Safari通知粘贴上的cookie,但Firefox不允许粘贴或打字。
这些结果是用户直接输入的,并且结果不一。通过来自其他网站的链接以及所有“跨域”安全问题,这是行不通的。如果你想到它,这实际上是另一种形式的Cross-site scripting (XSS)攻击。
这个XSS如何?我正在尝试将我自己的Cookie存储在浏览器中。我试图做的唯一事情就是获得一个特定的cookie的值显示在浏览器中... – user1938653 2013-04-21 23:12:54
你喜欢从一个网站,到另一个网站(跨网站),试图获得该网站设置的信息 – 2013-04-21 23:15:49
不,现在我只想知道如何通过在地址栏上使用javascript来查找特定cookie的值...这意味着 - 我在浏览器中输入Javascript代码,结果是Cookie的特定值。 – user1938653 2013-04-21 23:33:39
不会发生。您需要一个服务器代理,例如卷发到网站并显示返回的Cookie,如果您欺骗用户的浏览器 – mplungjan 2013-04-21 19:58:27
您无法从站点上下文访问其他站点的Cookie。这会违反[同源策略](http://en.wikipedia.org/wiki/Same_origin_policy)。 – Gumbo 2013-04-21 20:00:27
“违反相同的原产地政策” - 那么你是否说如果我想例如现在使用javascript从地址栏中激活一个来自StackOverflow的cookie,我无法做到这一点?即使,我可以看到它的cookie和价值... – user1938653 2013-04-21 20:03:18