Файлы cookie и фреймы, как с ними бороться?

Question

На днях я обнаружил, что iexplorer не принимает куки-файлы из iframe, если iframe не предоставляет авторизацию P3P.Сначала я был похож на «WTF?», Но сегодня мне было интересно, какие плохие вещи могут случиться.

Например, у меня есть веб-сайт с именем herp.com, где вы можете удалить продукт с помощью http://herp.com/product/111/delete (я знаю, что это плохая практика, GET должен быть независимым).Затем злонамеренный веб-мастер создает в http://derp.com веб-страницу с iframe http://herp.com/product/111/delete, поэтому ... если я, как зарегистрированный пользователь в herp.com, открою derp.com в своем браузере ... я удалю продукт?

Какие еще проблемы мне следует бояться?

Заранее спасибо.

Answer 1

Вы должны больше бояться, что ваш http GET вызовет удаление.Сценарий, который вы описываете, не сильно отличается от переадресации на страницу с derp.com на herp.com/product/111/delete.В любом случае пользователь невольно загрузит herp.com, а браузер автоматически предоставит файлы cookie для этого сайта.