因此，如果我希望在进行在线购物时在新标签页上打开“任何”网站，是否安全

同源策略应防止其他网站访问您在在线购物网站中的数据。这是假设购物网站没有泄漏数据的漏洞（CSRF、XSS、XSSI、损坏的 CORS、损坏的消息传递等）。

只打开一个选项卡可能会减轻恶意网站可能造成的一些损害。但是使用 serviceworkers 之类的技术，即使在您关闭选项卡后，恶意网站也可能能够执行攻击。如果您想要额外的安全性，您应该使用旨在分隔不同区域的其他机制（例如私人/隐身标签/窗口、不同的浏览器、Chrome 的浏览器配置文件或 Firefox 的多帐户容器）。

你日常工作中唯一有用的就是清理饼干。它本身没有用，只是这样，您删除了登录会话，因此需要新的登录（需要输入密码等密码）才能与购物网站交互。一个更好的选择（就您的用户体验和安全性而言）是从站点注销。

不言而喻，CC 的信息不是存储在您的计算机中，而是存储在购物网站公司管理的服务器中。因此，不能从您的浏览器中窃取信息，并且如果没有有效的登录会话，任何理智的购物网站都不会允许进行明智的操作。如果购物网站易受攻击，您就已经迷路了。如果您将 CC 保存在浏览器中（这可能吗？我希望它不仅仅是表单自动填充），它们就不会被第三方窃取（见下文）。

另请注意，任何可以从另一个选项卡对登录会话执行的攻击，也可以稍后在受害者站点的选项卡已经关闭时执行。假设登录会话在客户端关闭后仍然存在（如果您在完成后注销或清除 cookie 或等待足够的时间，则情况并非如此）。

这是因为浏览发生在离散时间，并且网站实际上无法判断用户是否仍在查看他们的页面。从购物网站的 POV 来看，除非您执行某个操作，否则您已经关闭了它的选项卡，即使您仍在阅读商品的描述。因此，恶意请求不必在购物网站打开时执行，它可以在以后的任何时间执行（只要您的浏览器仍然可以向该网站识别自己）。

除非来自同一来源（例如同一域）或已授予明确许可，否则网页不能访问彼此的信息。浏览器行为中的错误是可能的，但在执行策略时应该很少见。保持浏览器更新。

浏览器可能存在标记为“零日”的严重漏洞，这将允许网站接管您的浏览器。根据特定的攻击，完全可以访问已保存的登录会话和密码。接管整个机器的升级已被多次演示和使用。访问一个网站就足够了，它是完全不可见的。好消息是，这种零点击零日价值“很多”（尽管在 Apple 环境中，由于数量众多，它们正在失去价值）并且通常仅用于非常敏感的目标（想想政客、国家安全问题、行业间谍活动）。重罪并不足以成为在某人身上浪费零日时间的理由，更不用说窃取你的 CC 了。

根据您的偏执程度，您可以：

1. 正常访问购物网站。您相信您的浏览器不会受到基本策略绕过（罕见事件）和零日漏洞（非常可能的事件但对您根本不值得）的攻击；您相信该网站不会受到某些攻击。

2. 访问购物网站并在完成后注销。您只相信您的浏览器不会受到零日漏洞的影响。即使该站点易受攻击或浏览器策略被破坏，如果没有登录会话，攻击者也无法针对“您”。尽管如此，如果您保存密码，它们可能会被零日（非常罕见的事件）窃取。

3. 使用不同的浏览器访问购物网站，完成后退出。您相信另一个（可能以 UX 为代价进行加固）浏览器没有零日漏洞，或者在您的整个软件园中没有零日漏洞，足以让流氓浏览器接管其他应用程序。如果您使用不同的浏览器，攻击者将需要转义操作系统放置在浏览器周围的任何沙箱（如果有）。

4. 避开可疑网站。你首先避免了这个问题。避免所有这些是不可能的，尤其是因为大多数弹出窗口都会自动打开。但是严重的攻击是针对您的。流媒体网站上常见的弹出窗口只是试图愚弄你，所以不要担心它们，但如果你在你的（而且只有你的）门上找到一个贴纸，上面写着“访问whatever.com以获得免费的东西！” 最好不要这样做。

5. 亲自参观商店。你只相信你的人不会受到这里的刀给你钱包的攻击。

我个人选择第 2 点，从不将敏感站点的密码保存在浏览器中（如果需要，请使用密码管理器）。

我这样做是为了确保我在新标签页上打开的任何其他网站都不会潜入我的信用卡信息。这甚至可能还是只是一个神话？

这根本不可能，因为浏览器不允许这样的请求，因为没有网站在其CORS标头中明确说明的相同来源策略；除此之外，信用卡信息不存储在 cookie 中，而是以类似于密码的方式存储，也就是说，如果您使用内置浏览器功能来存储信用卡详细信息。

因此，如果我希望在进行在线购物时在新选项卡上打开“任何”站点，是否安全或每次我必须清除 cookie 缓存并仅打开 1 个站点？

不，您不必在每次打开新选项卡时清除缓存/cookie，这是假设您的银行网站不容易受到 CORS 错误配置的影响；即使这样，您的信用卡信息也应该是安全的，但如果存在此类漏洞，新选项卡上的网站将能够向您的银行执行 HTTP 请求。因此使用 2FA。