JavaScript / XSS窃取

Question

如果有人将克隆我的网站登录页面将能够窃取用户的cookie，如果让我们说，将开始一场网络钓鱼运动？

Answer 1

不是的。Cookie的作用域为域名。例如，如果你访问stackoverflow.com，你的浏览器会说，“哦，这里有一个带有domain=stackoverflow.com的cookie，我会把它发送出去的。”但它不会将您的stackoverflow.com cookie发送到storkovalflaw.biz

然而，网络钓鱼网站可能会说服一些用户提交他们在您的网站上通常使用的usernames+passwords，这是不好的。

你可以起诉某人窃取你的内容并侵犯你的版权。您可以将网络钓鱼网站提交到a variety of places。

Answer 2

由于Neil给出的理由，钓鱼网站不能窃取你的cookie，但理论上跨站脚本可以。如果您不在站点中使用cookie，通常最佳做法是将cookie设置为仅http，这样它将出现在web请求中，但javascript无法访问。

这里写得很好：http://blog.teamtreehouse.com/how-to-create-totally-secure-cookies