攻击者能利用他的网站记录用户的cookie吗？

Question

我正在学习有关网络安全的知识，最近还学习了相同的原产地策略。是什么阻止攻击者创建自己的网站，并将一些javascript放在他们的网站检索所有访问者的cookie(为其他网站)。这些cookie存储在浏览器中，可以使用javascript或php检索，对吗？如果这是可能的，有什么防御措施(除了不访问用户的网站)。

Answer 1

web服务器不会从浏览器中“检索”cookie。当浏览器向服务器发送HTTP请求时，它会自动包含以前从服务器自己的域接收到的cookie。cookies的发送是在浏览器的控制下，而不是服务器的控制下，浏览器不会将从域A接收的cookie发送到域B中的服务器。