Created
March 8, 2013 08:17
-
-
Save mala/5114952 to your computer and use it in GitHub Desktop.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
https://bugzilla.mozilla.org/show_bug.cgi?id=844622#c6 | |
CORSのwithCredentials付いてるときはどうする、という話題 | |
ジョナサンメイヤー: | |
「new policyと同様に、既にcookieを持ってるなら緩和する、これでいいんじゃないの」 | |
「もう一つはwithCredentials付けてる時にはcookieの新規セットを緩和するようにする案。 | |
これは良くないアプローチだし、そもそも必要かどうかわからないが。サードパーティCookieをセットする抜け穴になるだろう。 | |
Safariのフォーム送信のように。Safariではいくつかのウェブサイトがそれを濫用した。」 | |
Brendan Eich: | |
Does not CORS require reciprocity? I can't make a.com and b.com cooperate via CORS unless I have admin control of both. | |
Do advertising consumers (sites using ads) really have the budget for anything like CORS? Never mind the ad nets themselves, who are dumb as a box of rocks in my experience. | |
サイトAとサイトBの両方の管理権限を持っていないとCORSは使えないんじゃないっけ。 | |
広告を掲載するサイトはCORSに対応する予算を持っていますか? 広告ネットワーク自身は気にかける必要ない、私の経験上、あいつらは相当な馬鹿なので。 | |
---- | |
解説 | |
広告配信コードは既にjsであちこちに埋め込まれてるわけなので、withCredentialsでcookieセットできるようにすれば抜け道になりますね。 | |
広告掲載サイト側の対応は必要なく、抜け道作れば広告ネットワーク側の対応だけで新規cookieセットできるようになる。 | |
マジでモジラの未来が心配 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment