在cdn (或其他)托管的javascript文件中设置cookie时，cookie域设置为什么？

Question

假设一个网站托管了另一个网站的" widget“，其中该widget不在iframe中，而仅仅是jsonp操作和通过jsonp连接馈送的内容。如果为微件提供服务的js文件写入javascript cookie，该cookie会被标记为托管微件js文件的域还是显示微件的域(例如，托管包括微件js文件的html文件的域)？

Answer 1

它是用户的HTTP请求的域(在您的示例中是HTML文件)。

原因如下:假设您在http://www.blackhat.com/test.html上，并在页面http://www.facebook.com/cookielib.js上包含此文件。

这并没有给你读写这个JS文件的Facebook cookie的权限，那就太可怕了。用户代理将地址栏中的域视为执行上下文，所有cookie的读取和写入都发生在该域上。