日期:2014-05-17  浏览次数:20459 次

iframe跨站成功后,如何提取网站的Cookie?
最近在学着玩xss,默认情况下,iframe是禁止发送stored cookie的,那么真的没有办法在利用iframe实现跨站后提取cookie吗?
望高手指点下迷津。

------解决方案--------------------
别想了,那是异想天开,如果可以的话,那用户的信息就没保证了,一般网站会使用广告投放系统。如百度、google,还有一些合作。如果可以收集的话。你把用户的登录cookie获取了,再模拟这个cookie。那你就可以用这个用户登录了。浏览器是不会这样的做的,flash不知道可以不可以,但前提也必须在服务器端加配置文件