Можно ли получить или поставить cookie для домена, на котором лежит js файл?
Есть домен жертва. Я могу создать там файл js. Файл html с включенным js не могу, то есть только js файл.
Есть мой домен. Я конечно могу подключить js файл с домена жертвы.
Можно ли в такой ситуации прочитать cookie с домена жертвы или поставить их домену жертвы? Или не важно где находится файл, главное, что он будет вызываться с моего домена, а значит я могу манипулировать только своими cookie?
Это whitehat, ничего криминального. Пробую свои силы.
Да что тут не понятного?
Если вы смогли создать js-файл, из него и пишите кукис. Можно и нативными способами, но библиотека, что привел выше, уж больно удобная.
Так что вы сами мой ответ не поняли. Я просто не знаю до какого порога нужно разжевать?
Нет, это практически невозможно. Я как-то задавал вопрос, только "наоборот". Нет, куки идут только в тот домен, на котором исполняется код (а не откуда он загружается).
Иначе вы могли бы подключить любой файл google.com и менять там куки?