ins广告帖漫谈--跨域访问cookie

【作者： 0han 未经授权请勿转载文章，转载代码请保留注释，作者及出处】

reference:

1. cnblogs用户@waters的文章
2. JavaScript基础教程(第9版), Dori Smith Tome Negrino著，陈建瓯 柳靖 译, 中国工信出版社
3. 大宝日记博主

在刷instagram的时候，看到一个和普通帖子一样模式的广告推广帖，来自买手网站farfetch.com,帖子里的几个图片都是我最近浏览过的衣服，一个问题就浮现出我的脑海，farfetch的ins推广怎么会把我在他们网站的浏览行为结合到我的ins账号的？尤其是在没有登录farfetch的状态下。那可能出现的情况只有ins读取了我本地由farfetch创建的cookie，然后针对保存在其中我最近的浏览信息构建推广贴，但结合cookie的定义，“一个cookie只能由最初写它的服务器读取。浏览器内部的cookie机制不允许你读或写别人所写的cookie，你只能访问自己的cookie”。
本文将探索“跨域访问cookie”的可行性

cookie是什么？cookie其实就是一段文本，JavaScript开发人员可以在其中储存一些信息。它不能获得用户的真实身份，没法传输恶意脚本。它存在的目的就是网站给你浏览器的一个识别，这样你下一次访问这个站点的时候，网站就可以识别出你。

cookie是一个具有特定格式的字符串:
cookieName=cookieValue;expires=expirationDateGMT;path=URLpath;domain=siteDomain
cookie需要给它设定一个过期时间，过了这个时间他就会自己销毁。

下面是我构建的两个网页，第一个输入名字，会生成一个cookie，第二个会显现出你的名字，根据第一个网页的cookie，title命名就按照实际问题中的farfetch 和Instagram。代码如下:

Enter Your Name:

它里面引用的script01.js代码如下:

window.addEventListener("load",nameFieldInit,false);//窗口加载完成后会调用nameFieldInit这个函数

function nameFieldInit(){//设定cookie值，窗口加载完成后，会调用这个函数，见上
var userName= "";//变量userName初始化
if (document.cookie != ""){ userName=document.cookie.split("=")[1]; }
document.getElementById('nameField').value=userName;
document.getElementById('nameField').onblur=setCookie;
document.getElementById('cookieForm').onsubmit=setCookie;

}
function setCookie() { var expireDate=new Date(); expireDate.setMonth(expireDate.getMonth()+6); var userName = document.getElementById("nameField").value; document.cookie="userName="+userName + ";expires="+expireDate.toGMTString();//写入cookie document.getElementById("nameField").blur(); return false; }

Instagram_page代码如下，这个页面需要调用farfetch创建的cookie:

`

他里面引用的script02.js代码如下:

window.addEventListener("load",nameFieldInit,false);
function nameFieldInit() { if (document.cookie != "") { document.getElementById('nameField').innerHTML = "Hello," + document.cookie.split("=")[1]; } }

测试以后是成功的，在同一个域下，cookie肯定是可以互相调用，这时候更改hosts文件，设定为两个域，就没有办法。在文首列出的reference里，博主给了一个解决方案，使用iframe，通过搜索，大宝日记博主总结了如下几种解决跨域cookie的方案:
前端解决方案
1、JSONP2、Iframe参考:http://liuwanlin.info/shi-shi-kua-yu-tong-xin-iframe/
后端解决方案
1、反向代理参考：http://wenzhixin.net.cn/2014/06/05/apache_proxy
2、CORS跨域资源共享参考
1:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
关于跨域问题的讨论：参考1:https://segmentfault.com/a/1190000000718840参考2:https://www.zhihu.com/question/19618769

我不会php(所以我不说php是世界上最好的语言......)他的日志中解决跨域的后端方案,CORS(Cross-Origin-Resource-Shares)跨域资源共享，在后端服务器直接设置header内容Access-Contrl-Allow-Origin,php代码这么写的:

Apache配置:
Header set Access-Control-Allow-Origin *instagram.com/
这样可以规避XSS（跨站脚本攻击）
由此看来，跨站访问cookie并不是简单一个”不行“。farfetch的服务器后端只要授权了ins，ins就可以访问。