我正在为公司内部的活动开发一个页面/表单。然而,第一步是检查此人是否登录。这很容易根据他们登录后设置的cookie(CUSTOMER)进行检查。
但是:1) 我在本地开发,不在同一个域上,因此看不到cookie2) 最终的活动可能会也可能不会驻留在实际的域上。他们最终可能会使用一个虚荣的URL或其他什么东西。
为此,让我们假设我没有访问设置cookie的主域的权限。
我如何从域外读取cookie?哦,由于IT人员不让我们接触后端抱怨,所以它必须是一个JS解决方案。
谢谢!
你不能。
您可以使用客户端JavaScript读取的唯一cookie是那些属于嵌入<script>的HTML文档主机的cookie。
通过设置withCredentials,您可以在跨源请求中支持cookie,但它们由浏览器透明地处理,JS无法直接访问它们(XHR规范甚至明确禁止getAllResponseHeaders读取与cookie相关的标头)。跨来源请求访问cookie的唯一方法是让服务器(你说你无权访问)将数据复制到主体或不同的响应标头中。
如果可以安装服务器端组件,则可以。
你可以使用一个专用域来托管你的cookie,然后使用XSS技术共享它
当dom1.foo.com登录时,您使用Ajax XSS调用在cookie.foo.com上注册cookie,然后当您访问dom2.foo.com时,您必须使用XSS api 查询cookie.foo.com
我以前玩过https://github.com/quazardous/mudoco/blob/master/mudoco/README.txt这只是某种POC。。