我需要使用代理来模拟从其他国家/地区访问我的网站。我知道,使用代理意味着浏览器中的 cookie 不安全。据我了解,这只与设置了代理的特定浏览器有关?据我了解,来自其他浏览器的 cookie 应该仍然安全吗?
编辑:例如,如果我在 Chrome 中拥有包含银行凭证的 cookie,并且我在 Mozilla 中仅使用代理,是否意味着 Chrome 中的 cookie 是安全的?
答案1
是的@TOM,其他浏览器当然保持不变。如果为特定浏览器设置了代理,则它只会影响该浏览器(当然,如果您没有安装 PROXY 软件,则会改变整个系统)。
正如@Ouroborus 提到的,您最好清除该浏览器中的所有 cookie,或者打开私人窗口并在那里访问代理。
答案2
通过代理传递的任何 cookie 都可视为已暴露。这基本上是与您的浏览器处理的任何请求(页面、图像等)或提交(表单等)相关的任何 cookie。
有一些技巧可以让浏览器传递不相关的 cookie。MDN 的页面HTTP Cookie给出一个来自维基百科的例子:
跨站请求伪造 (CSRF)
维基百科提到了一个很好的 CSRF 示例。在这种情况下,有人添加了一个实际上不是图像的图像(例如在未过滤的聊天或论坛中),而实际上是向银行服务器发出提款请求:
<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">现在,如果你登录了你的银行账户并且你的 cookies 仍然有效(并且没有其他验证),你将在加载包含此图像的 HTML 时立即转账。
通过猜测常见网站,页面可以使用此技术让浏览器随请求发送包含活动会话密钥的 cookie,即使请求的内容无效。然后代理可以获取并利用该 cookie。
HTTPS 可以帮助缓解所有这些问题,但这取决于特定代理的工作方式。代理可以执行中间人通过使用另一个受信任的证书替换 SSL 证书来防止对连接的攻击。
现代浏览器提供了打开“隐私”窗口或选项卡的功能,其行为就像之前不存在任何 cookie(等等)。您之前存在的 cookie 均不会与隐私窗口共享。