J'ai deux sous-domaines content
et www
sous le domaine example.com
. Le contenu de content.example.com
est présenté en www.example.com
via un iframe.Implications sur la sécurité pour la définition de document.domain dans le contenu iframed
Parce que le contenu des content.example.com
doit communiquer à www.example.com
J'ai mis document.domain="example.com"
et également mis en allow-scripts
et allow-same-origin
sur le iframe. Je crains que si les utilisateurs peuvent télécharger le contenu à afficher dans l'iframe, cela pourrait être exploitable, c'est-à-dire envoyer le contenu des cookies à un domaine distant pour détourner la session ou d'autres exploits de sécurité.
J'ai configuré un autre domaine, www.example2.com
et de mettre une requête AJAX dans le contenu iframed à content.example.com
pour tester ma théorie et j'envoie document.cookie
au domaine distant. Cela entraîne l'envoi des cookies _ga
au domaine distant. J'ai autorisé header('Access-Control-Allow-Origin: *')
sur le domaine distant afin qu'il ne provoque aucun problème.
Pourquoi seuls les cookies _ga sont-ils envoyés? J'ai un certain nombre d'autres cookies sur le même domaine et le même chemin que les cookies _ga mais ils ne sont pas envoyés. Y a-t-il d'autres risques pour la sécurité? Idéalement, je voudrais seulement que la communication entre content.example.com
et www.example.com
et il semble que c'est la plupart du temps le faire, à l'exception des cookies de Google Analytics, ce qui signifie que d'autres pourraient être en mesure de le faire aussi.
_Je ont deux domaines, 'content.example .com' et 'www.example.com'_' content.example.com' est un sous-domaine de 'example.com' –
ouais désolé, j'ai deux sous-domaines. – Rudiger
pour accéder à un cookie de domaine à partir d'un sous-domaine, vous n'avez pas à aller trop lourd. C'est facile tâche –