[Перевод] Куки-бомбы или как положить интернеты
Знаете ли вы что субдомен sub.host.com может ставить куки для *.host.com? Наверняка да. А как много он может их поставить? Очень много. А сколько браузер будет отправлять их впоследствии? Все! А что получится если «заспамить» главный домен своими куки бомбами? На всей системе .host.com все запросы будут иметь супер длинный хедер Cookies добавленный браузером и эти запросы не будут обрабатываться сервером из за слишком большого размера. Попросту говоря после посещения специальной страницы вы не сможете заходить например на такие сайты: *.wordpress.com, *.github.io, ваша экосистема Гугла сломается тк я заспамлю .googleusercontent, Dropboxusercontent, а также не забываем про Content Delivery Network — заспамив главный домен JS и стили на куче других сайтов перестанут подгружаться! Более того, вы можете «заспамить» конкретный /dontlike путь, например пост конкурента. За более подробной информации читайте первоисточник. Также предлагаю обсудить как исправить эту проблему.
