Почему сторонний скрипт получает доступ к cookie?

Question

[KaminskyIlya]

Сторонний скрипт 3dparty.js с домена www.test2.ru пытается получить доступ к cookie домена ww.test1.ru. Этот скрипт, выполняется в контексте страницы www.test1.ru.

Есть тестовая страница с домена www.test1.ru:

<html>
<head>
	<script>
		var h = window.location.host;
		document.cookie = 'Victim=Vulnerable; domain='+h+'; path=/; max-age=3600; samesite=strict';		
	</script>
</head>
<body>
	Hello world!
	<script src="http://www.test2.ru/3dparty.js" defer></script>
</body>
</html>

Есть скрипт 3dparty.js, загружаемый со стороннего домена www.test2.ru:

console.log( 'Cookie from foreign domain: ' + document.cookie );

var script = document.createElement('script');
script.innerHTML = 'console.log( "Cookie from victim domain: " + document.cookie )';
document.body.appendChild( script );

При выполнении в консоль выводится:

Cookie from foreign domain: Victim=Vulnerable
Cookie from victim domain: Victim=Vulnerable

Я ожидал, что, как минимум, вывод первой строки будет: Cookie from foreign domain: undefined.
Как вообще здесь закрыть доступ скрипта 3dparty.js для cookie с домена www.test1.ru?

Answer 1

[dollar]

Запустить на другом домене в iframe. Тогда это будет окно на другую страницу. Как бы браузер в браузере. И ваша страница не будет знать, что внтури iframe, что бы он ни показывал, будет знать только размеры и адрес. А сам iframe, соответственно, не будет знать, что там во внешней странице.

А просто при подключении скрипта, он имеет полный доступ ко всему, как родной. И здесь нет смысла ставить палки в колеса. Если запретить куки, то в теории скрипт всё равно сможет их прочитать, если они как-то отражаются на странице. Например, на странице есть тест "Здравствуй, %username%", а скрипт имеет доступ к DOM, так что сможет спарсить имя и прочие переменные. Более логично разделять по принципу "всё или ничего" или по жестко определенному API.

Comments

[KaminskyIlya]

Я ожидал, что в первом случае команда document.cookie вернет undefined, т.к. должна была сработать защита от 3d party cookie при XSS. Но по факту: защита не работает?
Получается это можно использовать для отслеживания пользователей.

Мой вопрос был задан в рамках моей статьи https://habr.com/ru/post/472310/, как демонстрация уязвимости cookie.

[dollar]

KaminskyIlya, можно отслеживать. Это не баг.
Вам нужно всего лишь уговорить владельцев сайтов использовать ваш скрипт.
Ну а дальше всё зависит от того, знают ли они ваши ФИО и адрес или нет. ;)

XSS - это когда вы внедряете скрипт вопреки желанию владельца сайта. А если он вам сам разрешил, то он сам же и виноват.

[Михаил]

KaminskyIlya, защита от 3d party cookie в браузерах несколько иначе работает. Вот скажем у вас есть клиент с такой защитой, а ваш скрипт стоит на сотнях сайтах. Вот вы его потрекали на сайте №1 (установили ему куки для своего домена, с которого установлен скрипт), затем он заходит на сайт №2 на котором стоит тот же скрипт, так вот браузер при обращении к вашему домену, хоть у него и есть куки, не отдаст их, так как защита включена и эти куки могут быть видны только на сайте №1

[KaminskyIlya]

Я вот о чем. Скрипт www.test1.ru установил себе куки Victim=Vulnerable.
Я ожидал, что "внешний" скрипт www.test2.ru/3dparty.js не получит доступ к данному куки. Но он это делает без проблем.
Я чуть модифицировал скрипт так, чтобы он не только читал, но и устанавливал куки для домена www.test1.ru. И опять - успешно.

Получается, что скрипт партнерских сетей имеет доступ на чтение и запись к кукам страницы, которая скрипт размещает. И это потенциальная уязвимость. Кроме того, возможность отслеживать пользователя.

Вот модифицированный вариант скрипта:

console.log( 'Cookie form foreign domain: ' + document.cookie );

var script = document.createElement('script');
script.innerHTML = 'console.log( "Cookie form victim domain: " + document.cookie )';
document.body.appendChild( script );

var h = window.location.host;
document.cookie = '3dParty=Track; domain='+h+'; path=/; max-age=3600; samesite=strict';