Почему сторонний скрипт получает доступ к cookie?

Question

KaminskyIlya @KaminskyIlya

Почему сторонний скрипт получает доступ к cookie?

Сторонний скрипт 3dparty.js с домена www.test2.ru пытается получить доступ к cookie домена ww.test1.ru. Этот скрипт, выполняется в контексте страницы www.test1.ru.

Есть тестовая страница с домена www.test1.ru:

<html>
<head>
	<script>
		var h = window.location.host;
		document.cookie = 'Victim=Vulnerable; domain='+h+'; path=/; max-age=3600; samesite=strict';		
	</script>
</head>
<body>
	Hello world!
	<script src="http://www.test2.ru/3dparty.js" defer></script>
</body>
</html>

Есть скрипт 3dparty.js, загружаемый со стороннего домена www.test2.ru:

console.log( 'Cookie from foreign domain: ' + document.cookie );

var script = document.createElement('script');
script.innerHTML = 'console.log( "Cookie from victim domain: " + document.cookie )';
document.body.appendChild( script );

При выполнении в консоль выводится:

Cookie from foreign domain: Victim=Vulnerable
Cookie from victim domain: Victim=Vulnerable

Я ожидал, что, как минимум, вывод первой строки будет: Cookie from foreign domain: undefined.
Как вообще здесь закрыть доступ скрипта 3dparty.js для cookie с домена www.test1.ru?

Вопрос задан более трёх лет назад
377 просмотров

Комментировать

Подписаться 3 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 1

4 комментария

KaminskyIlya @KaminskyIlya Автор вопроса

Я ожидал, что в первом случае команда document.cookie вернет undefined, т.к. должна была сработать защита от 3d party cookie при XSS. Но по факту: защита не работает?
Получается это можно использовать для отслеживания пользователей.

Мой вопрос был задан в рамках моей статьи https://habr.com/ru/post/472310/, как демонстрация уязвимости cookie.

Написано более трёх лет назад
dollar @dollar

KaminskyIlya, можно отслеживать. Это не баг.
Вам нужно всего лишь уговорить владельцев сайтов использовать ваш скрипт.
Ну а дальше всё зависит от того, знают ли они ваши ФИО и адрес или нет. ;)

XSS - это когда вы внедряете скрипт вопреки желанию владельца сайта. А если он вам сам разрешил, то он сам же и виноват.

Написано более трёх лет назад
Михаил @FFxSquall

KaminskyIlya, защита от 3d party cookie в браузерах несколько иначе работает. Вот скажем у вас есть клиент с такой защитой, а ваш скрипт стоит на сотнях сайтах. Вот вы его потрекали на сайте №1 (установили ему куки для своего домена, с которого установлен скрипт), затем он заходит на сайт №2 на котором стоит тот же скрипт, так вот браузер при обращении к вашему домену, хоть у него и есть куки, не отдаст их, так как защита включена и эти куки могут быть видны только на сайте №1

Написано более трёх лет назад
KaminskyIlya @KaminskyIlya Автор вопроса
Я вот о чем. Скрипт www.test1.ru установил себе куки Victim=Vulnerable.
Я ожидал, что "внешний" скрипт www.test2.ru/3dparty.js не получит доступ к данному куки. Но он это делает без проблем.
Я чуть модифицировал скрипт так, чтобы он не только читал, но и устанавливал куки для домена www.test1.ru. И опять - успешно.

Получается, что скрипт партнерских сетей имеет доступ на чтение и запись к кукам страницы, которая скрипт размещает. И это потенциальная уязвимость. Кроме того, возможность отслеживать пользователя.

Вот модифицированный вариант скрипта:
console.log( 'Cookie form foreign domain: ' + document.cookie ); var script = document.createElement('script'); script.innerHTML = 'console.log( "Cookie form victim domain: " + document.cookie )'; document.body.appendChild( script ); var h = window.location.host; document.cookie = '3dParty=Track; domain='+h+'; path=/; max-age=3600; samesite=strict';
Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+2 ещё

Простой
Вся секция заежает за header?
- 1 подписчик
- 29 минут назад
- 8 просмотров
0

ответов
JavaScript

Простой
По какой логике bind принимает только первый контекст?
- 1 подписчик
- 6 часов назад
- 78 просмотров
2

ответа
JavaScript

+2 ещё

Средний
Возможно ли расположить или чтобы блок div мог заходить в прозрачный фон png фота?
- 1 подписчик
- 7 часов назад
- 23 просмотра
1

ответ
JavaScript

+3 ещё

Средний
Как сделать выборку mongo?
- 1 подписчик
- 7 часов назад
- 24 просмотра
0

ответов
JavaScript

Средний
Запись в cookie или localStorage только при открытии страницы?
- 1 подписчик
- 9 часов назад
- 37 просмотров
3

ответа
JavaScript

+2 ещё

Средний
Правильно ли настроен webpack.config для PWA приложения?
- 1 подписчик
- 10 часов назад
- 24 просмотра
0

ответов
Информационная безопасность

Простой
Могут ли злоумышленники физический заразить материнскую плату?
- 1 подписчик
- 13 часов назад
- 80 просмотров
4

ответа
JavaScript

+3 ещё

Простой
Почему приходят пустые данные с формы на почту?
- 1 подписчик
- 13 часов назад
- 55 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как при помощи js создать поле дополнительных ингридиентов?
- 1 подписчик
- вчера
- 77 просмотров
0

ответов
JavaScript

+1 ещё

Средний
Как в Next.js закешировать изображение без build?
- 1 подписчик
- вчера
- 35 просмотров
0

ответов
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

Middle JavaScript Developer

AppsTrain.io

от 80 000 до 180 000 ₽

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

8266 f12 требуется сделать ревью и оптимизировать работу

26 апр. 2024, в 20:42

2000 руб./за проект

Answer 1 · 2019-10-28 08:21:08

Запустить на другом домене в iframe. Тогда это будет окно на другую страницу. Как бы браузер в браузере. И ваша страница не будет знать, что внтури iframe, что бы он ни показывал, будет знать только размеры и адрес. А сам iframe, соответственно, не будет знать, что там во внешней странице.

А просто при подключении скрипта, он имеет полный доступ ко всему, как родной. И здесь нет смысла ставить палки в колеса. Если запретить куки, то в теории скрипт всё равно сможет их прочитать, если они как-то отражаются на странице. Например, на странице есть тест "Здравствуй, %username%", а скрипт имеет доступ к DOM, так что сможет спарсить имя и прочие переменные. Более логично разделять по принципу "всё или ничего" или по жестко определенному API.

Почему сторонний скрипт получает доступ к cookie?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт