1. Accueil
  2. Question et réponse
  3. Enregistrement d'un cookie

Enregistrement d'un cookie

2010-11-29 14 views
4

Ok Soo J'ai 3 sites. Tous doivent stocker un cookie que chaque site doit pouvoir voir. J'ai un simple ASPX qui stocke ce cookie pour tous les 3 sites. Fondamentalement Sur chaque page du site il y a un javascript qui appelle l'ASPX et le fait stocker le cookie. Si l'ASPX se trouve sur un domaine et que je charge l'aspx en tant qu'image, pourquoi chaque site n'écrit-il pas dans le même cookie? Fondamentalement permettez-moi de le décomposer de cette façon.Enregistrement d'un cookie

X.com y.com z.com existent tous

y.com/cookiesave.aspx existe aussi. Il écrit un coookie appelé bob et le met à un guide s'il n'existe pas ...

x.com, y.com, et z.com sur toutes les pages ont essentiellement un javascript qui charge une image à partir de y .com/cookiesave.aspx qui renvoie une image transparente 1x1. Pourtant, il ne semble pas voir ces cookies provenant de y.com.
Il considère toujours que les trois sites enregistrent et chargent le cookie séparément. Comment diable sait-il si le script est sur y.com seulement?

Source

2010-11-29 Rico

Répondre

3

Les protections qui empêchent cela sont mises en place par les fabricants de navigateurs pour empêcher les attaques par script intersite. Si vous avez un but légitime, alors mettez-le en œuvre de cette manière; utilisez x.my.com, y.my.com et z.my.com et définissez vos cookies pour my.com et non pour chacun.

A noter également: Les protections contre ce type d'action ne sont pas seulement arrêtées par le navigateur, il y a aussi des passerelles de sécurité, firewalls, etc. qui recherchent ce comportement car il est supposé être une attaque. Sauf si vous faites une attaque, faites comme je le suggère. Oh, et ne faites pas d'attaque - si c'est ce que vous pensez faire.

Source

2010-11-29 18:43:45 Hogan

+0

Mon but est plus d'un type d'analyse de l'objectif ... Je surprends l'adresse IP mais une adresse IP est exacte que le pare-feu qui est derrière. Je voulais laisser tomber un guid sur cette machine afin que je sache quand cette machine exacte revenait sur le site, mais plusieurs domaines pourraient avoir le script analytique dessus .. Je vais réfléchir à ne pas effectuer une attaque :) haha ​​certainement pas l'objectif.Appréciez la pensée – Rico

+0

@Rico: Jetez un oeil à "evercookie". Je crois que ça pourrait vous faire mal à l'esprit >> http://samy.pl/evercookie/ – Hogan

+0

Ww Evercookie est vraiment cool ... Si cela résolvait mon problème, ce serait encore mieux, mais cela pourrait résoudre d'autres problèmes plus tard. – Rico

1

Les cookies doivent avoir le même domaine d'origine. Pour chaque cookie, il existe deux valeurs de clé: cookie domain et cookie path. Un domaine de cookie est défini par défaut sur le domaine de la page chargée. Par exemple www.foo.com. Si vous souhaitez partager un cookie entre les domaines, ces domaines doivent être quelque chose comme:

a.foo.com 
b.foo.com 
c.foo.com

Dans ce cas, le domaine du cookie doit être réglé sur foo.com (vous ne pouvez pas définir com).

Le chemin du cookie est le chemin sur le serveur auquel le cookie doit être renvoyé. Le plus souvent vous définissez ceci à / ce qui signifie que n'importe quel chemin recevra le cookie. Mais vous pouvez le mettre à /something et puis n'importe quelle page comme /something/here/ obtiendra le cookie.

Edit:

La plupart des navigateurs bloquent les cookies de toute 3ème partie qui ne sont pas la page que vous visitez.

Cookie blocking

Source

2010-11-29 18:45:48

+0

Mon objectif est plus d'un type d'objectif analytique ... J'attrape l'adresse IP mais une adresse IP n'est précise que pour le pare-feu qu'elle est derrière. Je voulais laisser tomber un guid sur cette machine afin que je sache quand cette machine exacte revenait sur le site, mais plusieurs domaines pourraient avoir le script analytique – Rico

+0

Vous verrez que beaucoup de navigateurs ces jours-ci n'acceptent que les cookies du domaine de la page qui a été chargée dans le navigateur. Ainsi, même si vous insérez une image d'un seul domaine sur les trois sites différents, vous ne pourrez pas définir de cookie. –

+0

votre réponse est logique et je reçois les paramètres 3ème partie .. Je pensais pouvoir le forcer je suppose. Les navigateurs ne sont pas aussi bêtes que je le crains :) Vivre et apprendre ... – Rico

 Questions connexes

  • Aucun problème connexe^_^