クッキーとiframeはどう対処するのですか？

Question

先日、私はiframeがP3P認証を提供しない限り、iexplorerがiframeからのクッキーを受け入れていないことを発見しました。最初は「WTF」のようでしたが、今日は、起こりうる悪い事について疑問を抱いていました。

たとえば、herp.comという名前のウェブサイトがあります。http://herp.com/product/111/deleteで商品を削除することができます（これは悪い習慣であることがわかりますが、GETは独立している必要があります）。その後、悪意のあるWebマスターは、のiframeを持つhttp://derp.comにWebを作成します。ログインしたユーザーがherp.comの場合、ブラウザでderp.comを開きます...商品111を削除しますか？

多くの問題を恐れてはなりませんか？

ありがとうございます。

Answer 1

あなたのhttp GETが削除されるのを恐れてください。あなたが記述しているシナリオは、derp.comからherp.com/product/111/deleteへのページのリダイレクトを投げることとほとんど変わりません。どちらのシナリオでも、ユーザーは知らずにherp.comをロードし、ブラウザはそのサイトのCookieを自動的に提供します。