我正在構建一個網站,其中包含了第三方天氣 html 小部件,該小部件看起來來自可靠的來源,并且在網路上受到信任。這個小部件采用鏈接和一個小的 javascript 標簽的形式,一旦加載就會呈現。
我想知道一旦我加載了這個或其他小部件,我的網站資料會有多安全,他們是否能夠嗅探我的網站資料,包括 cookie、html、css 等。
uj5u.com熱心網友回復:
當您在您的網站上使用 3rd 方 JavaScript 時,您必須信任它們。您實際上是授予他們在您的站點中運行他們想要的任何代碼的權限。該代碼可以:
- 僅讀取未設定為HTTP的 cookie
- 訪問頁面上的所有資料
- 從您的服務器呼叫第三方通常無法訪問的 JavaScript API
- 更改他們頁面上的任何內容
- 將他們找到的任何資料發送回第 3 方(或任何其他方)
這些功能可能會被濫用于任何惡意目的,例如竊取您的資料、重定向您的用戶或跟蹤您的用戶。
這是一篇更詳細的相關文章:Jeremiah Grossman:第三方 Web Widget 安全常見問題解答
uj5u.com熱心網友回復:
您無法復制的 Cookie,因為它們僅適用于域,如果您更改域,瀏覽器會開始新的 cookie。Html 和 js 很容易復制執行此操作的少數選項:
- 跟蹤
- 使用查看源和更多選項...
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/422549.html
標籤: