第三方 scripts/html 小部件可以复制您的站点数据,包括 cookie、html 和其他项目
Can third part scripts/html widgets copy your site data including cookies, html and other items
我正在构建一个网站,其中包含第三方天气 html 小部件,该小部件来自可靠来源并且在网络上受到信任。这个小部件的形式是 link 和一个小的 javascript 标签,一旦加载就会呈现。
我想知道一旦我加载这个或其他小部件,我的站点数据的安全性如何,它们是否能够嗅探我的站点数据,包括 cookie、html、css 等。
您无法复制 Cookie,因为它们仅适用于域,如果您更改域,浏览器会开始新的 cookie。
Html 和 js 很容易复制几个选项来做到这一点:
- httrack
- 使用查看源代码
还有更多选择...
当您在您的网站上使用第 3 方 JavaScript 时,您必须信任他们。实际上,您是在授予他们 运行 他们想要在您网站中使用的任何代码的权限。该代码可以:
- 读取未设置为 HTTP only
的 cookie
- 访问页面上的所有数据
- 从您的服务器调用 JavaScript 通常第三方无法访问的 API
- 更改页面上的任何内容
- 将他们找到的任何数据发送回第 3 方(或任何其他方)
这些能力可能会被滥用于许多恶意目的,例如窃取您的数据、重定向您的用户或跟踪您的用户。
这是一篇更详细的相关文章:Jeremiah Grossman: Third-Party Web Widget Security FAQ
我正在构建一个网站,其中包含第三方天气 html 小部件,该小部件来自可靠来源并且在网络上受到信任。这个小部件的形式是 link 和一个小的 javascript 标签,一旦加载就会呈现。
我想知道一旦我加载这个或其他小部件,我的站点数据的安全性如何,它们是否能够嗅探我的站点数据,包括 cookie、html、css 等。
您无法复制 Cookie,因为它们仅适用于域,如果您更改域,浏览器会开始新的 cookie。 Html 和 js 很容易复制几个选项来做到这一点:
- httrack
- 使用查看源代码 还有更多选择...
当您在您的网站上使用第 3 方 JavaScript 时,您必须信任他们。实际上,您是在授予他们 运行 他们想要在您网站中使用的任何代码的权限。该代码可以:
- 读取未设置为 HTTP only 的 cookie
- 访问页面上的所有数据
- 从您的服务器调用 JavaScript 通常第三方无法访问的 API
- 更改页面上的任何内容
- 将他们找到的任何数据发送回第 3 方(或任何其他方)
这些能力可能会被滥用于许多恶意目的,例如窃取您的数据、重定向您的用户或跟踪您的用户。
这是一篇更详细的相关文章:Jeremiah Grossman: Third-Party Web Widget Security FAQ