Может ли код (сторонний) iframe устанавливать собственные файлы cookie?
Возможно ли для загрузки какого-либо кода в iframe установить основные файлы cookie?
Например. У меня есть сайт: www.my-website.com, и мне нужно загрузить некоторый контент от стороннего поставщика www.third-party-site.com для законных целей. Но (по очевидным причинам безопасности) я не хочу позволять им устанавливать (или читать) какие-либо файлы cookie первой стороны (т.е. файлы cookie с доменом www.my-website.com - они могут устанавливать любые файлы cookie своих собственный домен www.third-party-site.com).
Возможно ли вышеперечисленное при определенных условиях или вообще невозможно:
- iframe не находится в песочнице?
- если загружается код iframe, скажем, изображение с файлами cookie заголовка
- любые другие условия?
- одни браузеры позволяют, а другие нет?
Насколько я понимаю, это вообще невозможно, и большинство ответов на SO и т. д., Похоже, поддерживают это, но некоторые указывают на примеры, когда у Facebook есть обходной путь для этого в определенных условиях и т. д. Поэтому я подумал, чтобы уточнить.
Ответы 1
По дизайну нет. Это не означает, что обходные пути не были найдены или что ошибки позволяли это в прошлом, но это в значительной степени ошибки, а не то, что вы должны ожидать или пытаться использовать - утечка основного файла cookie третьей стороне будет квалифицироваться как серьезная проблема безопасности.
Чтобы уменьшить уязвимость, вы должны убедиться, что установлены соответствующие флажки cookie: Secure, чтобы предотвратить отправку файлов cookie по небезопасным ссылкам; httponly, чтобы предотвратить доступ к ним javascript, и, если он есть, samesite, чтобы избежать атак CSRF. Вы также должны установить заголовки HTTP, чтобы контролировать фрейминг вашего собственного сайта, чтобы избежать кликджекинга, и другие заголовки, такие как CSP, для более жесткого контроля над источниками.
Есть один очень простой способ избежать всех негативных последствий использования сторонних файлов cookie: не хранить их. Без них можно делать очень много вещей, а это значит, что вам может не понадобиться отображать уведомления о файлах cookie или запрашивать согласие.
Поскольку вы задаете абстрактный вопрос по этому поводу, вы можете получить лучший ответ на Обмен стеками безопасности.
Большое спасибо ! первая строка в значительной степени отвечает на вопрос. Я буду перемещать / повторно размещать в обмене стеком безопасности более подробные сведения, но это дает ответ на вопрос.