如果取消同源策略,网站面临的风险?
阮一峰的文章提到,如果取消同源策略,其他网站可以读取 A 网站的 Cookie。那么,在没有同源策略的情况下,其他网站如何读取 A 网站的 cookie 呢?
想象一下,在这样一个没有同源策略的世界里,浏览器的 API 也将有所不同。可能会有一个 getAllCookie 的 API,允许获取所有网站的 cookie。
事实上,即使在目前有同源策略的情况下,浏览器仍然可以获取不同网站的 cookie。如下图所示,在浏览器的设置页面中,可以看到不同网站的 cookie。
此外,如果没有同源策略,其他网站还可以直接在 iframe 中打开 A 网站的网页,然后使用 iframe.contentWindow.document.cookie 来获取 cookie。