javascript - 如何确定将哪个站点添加到 cookie 白名单？-6ren

javascript - 如何确定将哪个站点添加到 cookie 白名单？

转载作者：行者123 更新时间：2023-11-29 20:26:03

26

4

有一个银行网站，除非我允许接受所有 cookie，否则我无法登录。我使用的是 Firefox 3.0，我已将其设置为不接受定义列表以外的 cookie(工具 - 选项 - 隐私 - Cookies - 异常(exception))。我已经将 Live HTTP Headers 捕获的所有站点添加到白名单中，但登录仍然被禁用。我已尝试启用所有 cookie 并登录，然后查看我收到的 cookie - 没有看到任何新站点被添加到异常(exception)列表中。显然，该网站正在以某种方式检查我是否接受了任意 cookie。我如何找出哪些站点需要列入白名单？还是我对 cookie 不了解，接受所有 cookie 与将所有正确的网站列入白名单在某种程度上是不一样的？

站点是https://www.citizensbank.ca/并且它仅在允许任何 cookie 时显示登录字段，否则显示消息“要登录网上银行，您必须启用 JavaScript 和 cookie。”

最佳答案

我会给自己换另一台机器(或 VMWare 镜像)，删除所有 cookie，允许来自所有站点的所有 cookie，然后转到您的站点并登录(这听起来与您已经尝试过的类似)。

然后，在您的银行业务 session 结束后(或者在此期间，如果他们创建一个短暂的 cookie 只是为了测试您启用了它们)，请查看您的 cookie jar 以了解银行添加了什么。这应该会告诉您需要添加到您的真实计算机的域。

如果这不起作用，请联系银行并解释您的问题。他们会告诉您需要允许哪些，或者他们会告诉您全部允许。如果是后者，您需要决定它们是否仍然值得保留为您的银行。

或者，您可以:

如果您不希望所有 cookie 都出现在您的主框中，请将您设置为沙箱的虚拟机用于访问银行。
设置脚本以在 FF 关闭后删除所有非白名单 cookie。
完全不用担心 cookie，只要允许它们(我想我从未听说过 cookie 被用作攻击媒介)。

如果您愿意，请将您的帐户详细信息(用户名/密码)发送给我，我会看看是否可以从这里对其进行调试 :-) 开个玩笑(以防它不是很明显)。

更新:

您的银行有一种特别邪恶的方式来检查要求。他们会检查您是否接受所有 cookie，这是他们根本没有业务可做的事情。他们应该看看他们是否可以创建一个 cookie 并将其读回，这将使他们与 cookie 管理器兼容。

他们的代码是:

function testCookie() {
    if (typeof navigator.cookieEnabled !== "undefined") {
        return !!navigator.cookieEnabled;
    } else{
        document.cookie="testcookie";
        return document.cookie.indexOf("testcookie")!=-1;
    }
}
if(!testCookie()){
    var browserWarningString = '';
    browserWarningString += '<div class="warning">';
    browserWarningString += '<p>To login to online banking, you must have
        JavaScript and cookies enabled.</p>';
    browserWarningString += '</div>\n';
    document.getElementById("loginAuth").innerHTML = browserWarningString;
}

这是 testCookie() 的第一位，return !!navigator.cookieEnabled 位有问题。在这里再多的白名单 URL 也无济于事，因为只有当全局 cookieEnabled 设置为 true 时才会检查(这不适合你，这是正确的)。

理想情况下，您只需替换掉下来的 HTML 中的 testCookie() 函数即可。

我找到了一个类似的网站，它讨论了来自不同银行的相同问题(我猜银行是所有脑残的 Javascript child 最终去的地方:-) here ，以及两个建议的解决方案。

首先是安装 GreaseMonkey 并使用此脚本 here .显然，这需要针对您的银行进行更改(URL、功能名称等)。

上面第一个链接的最后一篇文章(目前，请查找“afternoonnap, February 15th, 2009, 10:10 am”文章)也展示了如何使用 NoScript 实现相同的结果。这涉及用更合理的脚本替换 cookieEnabled 脚本(针对该特定页面)，尽管我可能只是选择用 "return true" 替换它并挂起后果 :-)。

希望有所帮助。

为了完整起见(以防链接消失)，我将在此处包含这两个脚本。 GreaseMonkey 归结为:

// ==UserScript==
// @name          TD Canada Trust EasyWeb Repair
// @namespace     tag:GossamerGremlin,2007-04-28:Repair
// @description   Repair TD Canada Trust EasyWeb website.
// @include       https://easyweb*.tdcanadatrust.com/*
// @exclude       
// ==/UserScript==

var scriptName = "TD Canada Trust EasyWeb Repair";

// The above @include pattern is overbroad because it exposes this
// user script to potential attacks from URLs such as this:
//   https://easyweb.evil.example.com/not.tdcanadatrust.com/bad.html
// The following check eliminates such possibilities:
if (location.href.match(/^https:\/\/easyweb\d\d[a-z].tdcanadatrust.com\//))
{
    // Visibly mark page to remind that this script is in use.
    if (document.body)
    {
        host = document.location.host;
        dummyDiv = document.createElement('div');
        dummyDiv.innerHTML = '<div><span style="color: red">Greased by: ' +
                             scriptName + ' (' + host + ')</span></div>';
        document.body.insertBefore(dummyDiv.firstChild,
            document.body.firstChild);
    }
    unsafeWindow.navigator.__defineGetter__("cookieEnabled",
        canStoreCookieFixed);
}

// canStoreCookieFixed()
//   TD's version relies on navigator.cookieEnabled, which is not set
//   if customer has cookie manager, even when cookies are allowed for
//   EasyWeb. The only reliable check for enabled cookies is to actually
//   test if session cookie settings succeed, as done in this function
//   replacement.
function canStoreCookieFixed()
{
    var testSessionCookie ="testSessionCookie=Enabled";
    document.cookie = testSessionCookie;
    return (document.cookie.indexOf(testSessionCookie) != -1);
}

NoScript 版本归结为“将以下内容添加到 about:config”:

noscript.surrogate.nce.sources=@easyweb*.tdcanadatrust.com

noscript.surrogate.nce.replacement=navigator.__defineGetter__(
    "cookieEnabled",function(){
        var ed=new Date;
        ed.setTime(0);
        var tc="__noscriptTestCookie_"+Math.round((Math.random()*99999))
            .toString(16)+"=1";
        document.cookie=tc;
        var ok=document.cookie.indexOf(tc)>-1;
        document.cookie=tc+";expires="+ed.toGMTString();
        return ok
    }
);

测试和更新:

当我在 FF3 中安装 noscript 并完全关闭 cookies，然后添加以下 about:config 项时，登录提示会显示您的银行，所以我认为这可能是可行的方法:

noscript.surrogate.nce.sources     = *.citizensbank.ca
noscript.surrogate.nce.replacement =
    navigator.__defineGetter__("cookieEnabled",function(){return true});

我建议您这样做并对其进行测试，以确保您仍然拥有所有功能。

关于javascript - 如何确定将哪个站点添加到 cookie 白名单？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/942518/

26

4

0

文章推荐： mysql - 使用过程和触发器更新表

文章推荐： javascript - 如何让 Firefox 插件监听页面中的 xmlhttprequests？

文章推荐： javascript - Jquery AJAX/动画控制流程

文章推荐： android - ActionBar 颜色不变

java - Selenium Web 驱动程序无法单击前台对话框的“确定”按钮并找到后台对话框的“确定”按钮
我正在使用 Selenium Web 驱动程序 3.0，并且想要从打开的两个对话框(一个在后台，第二个在前台)的 Activity 对话框中单击“确定”按钮。如何从 html 下面的父 div 单击前
android - 在 flutter 中，我使用AlertDialog，它具有2个操作按钮“确定”和“取消”，单击“确定”时，我要转到新屏幕并结束当前屏幕？
actions: [ FlatButton( onPressed: () {
sqlite - 在 SQLite 中从接近重复的行(由 GROUP BY、HAVING、COUNT 确定)中选择 "first"(由 ORDER BY 确定)行
我有一个问题有点超出我的范围(我真的很高兴我是 Beta)涉及重复项(所以 GROUP BY, HAVING, COUNT)，通过将解决方案保留在 SQLite 附带的标准函数中而变得更加复杂。我正在
perl - 确定$ sth是否有行而不消耗它？
使用DBI是否可以确定SELECT语句的已执行语句句柄是否返回任何行而不从中获取行？ IE。就像是: use DBI; ... my $sth = $dbh->prepare("SELECT ..."
语义用户界面模式关闭-确定/取消回调
是否可以为“确定”和“关闭”按钮指定回调函数？如果是JQuery Modal，则可以在初始化时使用按钮字典指定回调函数。 Semantic-ui模态是否提供类似的功能？按下确定后，我该如何寻求其他逻
selenium - 阅读警报消息并单击“确定”
我想阅读警报中的消息。示例:如果警报显示“错误的电子邮件地址”。怎么读呢？意味着我想将该消息存储在字符串中。如何在“警报”中单击“确定”...？？如何使用 Selenium 来做到这一点？最佳
javascript - 确定 if 语句中是否选择了任何选项
我有一个删除按钮: 我试图首先查明是否已选择一个网站，如果已选择一个网站，我需要确定是否已选择一个或多个列表项，如果是，则继续删除这些项目。我的 if 语句不断返回“您必须首先选择您的列表”，即使它
.net - 确定.NET中对象图的内存使用率
部分出于好奇——我们想知道在我们的应用程序中发生了什么——部分是因为我们需要在我们的代码中找到一些潜在的问题，我喜欢在我们的网络应用程序运行时跟踪一些一般值。这尤其包括某些对象图的分配内存。我们的应
jquery - 甜蜜警报不会等到用户单击“确定”
我将 SweetAlert 与 Symfony 结合使用，我希望用户在完成删除操作之前进行确认。发生的情况是，当用户单击删除按钮时，SweetAlert 会弹出，然后立即消失，并且该项目被删除。在
c# - 确定.NET中随机生成的代码中是否包含任何淫秽词语的有效方法
我们有一个应用程序可以生成不包括字母 O 的随机基数 35 [0-9A-Z]。我正在寻找一种解决方案来查找包含任何淫秽英语单词的代码，而无需搜索包含 10,000 个条目的列表每个生成的代码。每秒生成
c - 确定、存储和打印给定范围内的所有整数
这是我做的: #include #include int betweenArray(int a, int b){ int *arr,i,range; range = b - a +
javascript - 在提示中单击“确定”
我知道如何创建警报和确认框，但我不知道如何做的是实际单击“确定”。我有一个弹出确认框的页面。我想使用 Java Script 插件单击“确定”。基本上，我希望我的代码单击页面上的链接，然后在出现提
javascript - 无法使用甜蜜警报单击“确定”
代码: swal('Your ORDER has been placed Successfully!!!'); window.location="index.php"; 甜蜜警报工
python - 确定 OR 正则表达式的哪个片段与字符串匹配
>>> import re >>> s = "These are the words in a sentence" >>> regex = re.compile('are|words') >>> [m
确定 2 个数组是否不相交的算法
使用确定的理想散列函数给出随机期望线性时间算法两个数组 A[1..n] 和 B[1..n] 是否不相交，即 A 的元素是否也是 B 的元素。谁能告诉我如何做到这一点，甚至如何开始考虑它？最佳答案
java - 确定 while 循环的迭代次数
我在计算机科学课上有这段代码: int input=15; while (input < n ) { input = input *3;} 这段代码有 log3(n/15) 次循环的上限。我们怎样才能
确定 TicTacToe 游戏状态的算法？
我有一个允许 2 位玩家玩 TicTacToe 的程序。在每个玩家移动之后，它应该在那个点显示棋盘并返回一个名为 Status 的枚举，显示玩家是否应该继续，如果玩家赢了，还是平局。但是，该算法要么返
确定 Y 轴标签和位置的算法？
给定一个 y 值数组，例如 [-3400, -1000, 500, 1200, 3790]，我如何确定“好的”Y 轴标签并将它们放置在网格上？ ^ ---(6,000)-|---
php - 确定 WHERE 语句的哪些部分失败
假设我有一个检查用户登录的 SQL 语句: SELECT * FROM users WHERE username='test@example.com', password='abc123', expi
indexing - 确定 Teradata 中表的主索引
teradata中有返回表中哪一列被定义为主索引的命令吗？我没有制作一些我正在处理的表，也没有尝试优化我对这些表的连接。谢谢! 最佳答案有dbc.IndicesV，其中IndexNumber=1表示

首页

博学

6Ren·AI

商城

javascript - 如何确定将哪个站点添加到 cookie 白名单？