本论文系统性地探索了现代Web中同站（same-site）攻击的威胁，重点关注子域名接管和跨站攻击的变种。研究背景：随着SameSite Cookie等防御机制的普及，传统跨站攻击（如CSRF）受到限制，但攻击者转向利用站点内部的同站弱点。核心问题：攻击者能否通过控制子域名或利用同站上下文实施攻击？方法：作者对Alexa Top 10K网站进行了大规模实证分析，评估子域名可注册性、DNS配置漏洞以及同站Cookie泄露风险。主要贡献：1）发现大量网站存在可被注册的子域名，导致子域名接管攻击；2）识别出同站Cookie设置中的逻辑缺陷，允许攻击者在同站内冒充用户；3）提出一种新的攻击向量——同站请求伪造（Same-Site Request Forgery），绕过现有防御。实验结果表明，超过15%的网站在至少一个子域名上存在风险。该研究为Web开发者提供了改进配置的指南，并建议浏览器厂商加强同站策略的强制执行。读者对象：Web安全研究者、浏览器开发者和网站运维人员。