Javascript 从电子邮件访问cookies?
是否可以通过电子邮件访问Cookie?我担心的是,一个人可能仅仅通过发送电子邮件就窃取facebook登录cookies 我知道有可能在用户不知道的情况下将其重定向到url。例如,我曾经显示1x1 gif以将用户重定向到url(我使用它来创建电子邮件打开状态)。如果我在目标url上创建了一个恶意的js脚本,该怎么办:我能访问用户的cookie吗 或者换言之,如果电子邮件中有一个链接,用户单击该链接,目标网站是否能够访问用户的cookie 我读书;有人有关于这个问题的更多细节吗 @用户3345621 谢谢你的回答,对我来说似乎是正确的。 但是,再次以facebook为例,我还有几个问题: 我可能错了,但我认为cookie加密在这种情况下没有帮助。 cookie加密将有助于隐藏密码,以防我访问 您的本地机器,并直接查看cookies。 但是,如果我使用加密的cookie,我将能够使用它们, 让facebook来做这项不可压缩的工作。 所以换句话说,我认为cookies是否加密并不重要, 只要应用程序(本例中的facebook)将为您解码它们 现在,关于cookie被重新创建这一事实的相同评论。 我认为这是使用session_regenerate_id函数的直接结果 但无论如何,我的理解(可能是错误的)是,即使重新创建cookie, 如果黑客向你发送恶意电子邮件,他将获得最新版本的cookies 无论如何,在我描述的技术中,你被重定向到一个恶意网站, 这样,该网站在打开时就可以访问当前的cookies(如果可能的话)Javascript 从电子邮件访问cookies?,javascript,php,email,cookies,Javascript,Php,Email,Cookies,是否可以通过电子邮件访问Cookie?我担心的是,一个人可能仅仅通过发送电子邮件就窃取facebook登录cookies 我知道有可能在用户不知道的情况下将其重定向到url。例如,我曾经显示1x1 gif以将用户重定向到url(我使用它来创建电子邮件打开状态)。如果我在目标url上创建了一个恶意的js脚本,该怎么办:我能访问用户的cookie吗 或者换言之,如果电子邮件中有一个链接,用户单击该链接,目标网站是否能够访问用户的cookie 我读书;有人有关于这个问题的更多细节吗 @用户334562
?我可能不正确,因为我对应用程序安全性相当陌生 下面是我关于饼干的最佳镜头: cookie是特定于域的(事实),当您有一个facebook cookie存储您的用户ID和电子邮件时(也许?),只有facebook域可以访问该cookie。此外,在大多数情况下,cookie中的信息,特别是在企业系统(如facebook)中,是加密的,在其他情况下,哈希被用来掩盖信息(某种事实) 因此,让我们以facebook为例,因为他们使用一种强加密格式(FACT)。例如,如果您能够获得用户的facebook cookie,那么您需要先对信息进行解密,以便对您有用。到那时,一个新的cookie已经生成了(该死的facebook adddicts) 关于安全问题,如果通过某种方式您能够获得不属于您的域的用户cookie,这将是一种黑客行为(do'h!),您需要检查是否有任何浏览器(是的,您应该利用浏览器)存在这种漏洞,或者自己寻找一个 因此,它们是:
- 浏览器攻击,攻击特定浏览器
- 如果cookie已加密,则对其进行解密(或反散列)
- 所有这些都是因为饼干过期了
这个世界是你的。我可能是不正确的,因为我对应用程序安全相当陌生 下面是我关于饼干的最佳镜头: cookie是特定于域的(事实),当您有一个facebook cookie存储您的用户ID和电子邮件时(也许?),只有facebook域可以访问该cookie。此外,在大多数情况下,cookie中的信息,特别是在企业系统(如facebook)中,是加密的,在其他情况下,哈希被用来掩盖信息(某种事实) 因此,让我们以facebook为例,因为他们使用一种强加密格式(FACT)。例如,如果您能够获得用户的facebook cookie,那么您需要先对信息进行解密,以便对您有用。到那时,一个新的cookie已经生成了(该死的facebook adddicts) 关于安全问题,如果通过某种方式您能够获得不属于您的域的用户cookie,这将是一种黑客行为(do'h!),您需要检查是否有任何浏览器(是的,您应该利用浏览器)存在这种漏洞,或者自己寻找一个 因此,它们是:
- 浏览器攻击,攻击特定浏览器
- 如果cookie已加密,则对其进行解密(或反散列)
- 所有这些都是因为饼干过期了
世界是你的。我试图给我发一封电子邮件,上面有以下图片:
<img src="http://localwebsite/js.php" />
它将使用javascript发出警报(“某物”)
给自己发邮件,
我希望邮件客户端会打开一个web浏览器页面并打开js弹出窗口,
但事实并非如此
发生的事情是,因为这不是一个真正的图像,
我的邮件客户端(使用mac上的mail)确实显示了一个蓝色的方形感叹号,
表示他无法显示该图像。
即使我点击“加载图像”。
然后什么也没有发生:
我假设邮件客户端转到url并尝试在邮件中显示预期的图像,
但是因为没有图像,所以没有任何变化。
url根本没有在浏览器中打开,一切都是在后台完成的
在阅读更多关于javascript的电子邮件时,似乎一般来说,javascript根本不会被解释
在电子邮件中。
我也测试过:发送包含以下内容的电子邮件:
<script type="application/javascript">alert("pou")</script>
警报(“pou”)
邮件(mac)不执行脚本
所以要回答这个问题,
我相信黑客能用邮件做的唯一事情是:
- 发送一个链接,然后如果你点击该链接,任何事情都可能发生
- 创建一个他可以用来跟踪你是否打开邮件的图像
我是个偏执狂…我试图给我发一封电子邮件,上面有以下图片:
<img src="http://localwebsite/js.php" />
Whi