假设有一个名为
foo.com
的网站从bar.com
网站加载JavaScript。现在,假设bar.com
的JavaScript尝试使用document.cookies
读取cookie。我原以为使用JavaScript可以读取浏览器中设置的所有cookie,无论其来源如何。但实际上,来自bar.com
网站的JavaScript只能访问由bar.com
设置的cookie,而不能访问其他任何cookie。如果是这样,那么如何进行窃取cookie的脚本注入攻击呢?
http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
不存储在stackoverflow.com
域上。 - Marcel Korpel