Cookie详解与跨域问题

最新推荐文章于 2023-11-09 23:13:48 发布
最新推荐文章于 2023-11-09 23:13:48 发布
阅读量6.6k 收藏 19
点赞数 3
分类专栏: Http与信息安全 文章标签: cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yejingtao703/article/details/78617586
版权

Http是无状态的协议,客户端每次对服务端的http请求都是独立的,不受该客户端其它的请求的影响。

为了把Http这个无状态协议变的与上下文有关系,我们引入了会话(Session)的概念,具有相同会话ID的请求使之变成了有状态。

服务端可以给请求setSession的信息,信息保存在服务端内存,同时在response时将session内容推送给客户端浏览器,浏览器为了保存SessionID等信息,又有了Cookie这玩意,Cookie本质是一块存储少量数据的存储空间,可以存到内存也可以写入磁盘。每次浏览器向一个域名发送http请求时会去查找该域名的Cookie信息拼接到Httpheader中送到Server端。

 

谈到域名,可以简单的理解为我们访问的地址(请注意不是真正映射成的IP地址),而Cookie具有不跨域性质,只会将属于该域名的Cookie信息添加到Header中传到Server端。

下面我们写个Demo来试下Cookie的跨域

先设置下本机的host,添加两个域名peer1peer2

用管理员权限打开C:\WINDOWS\system32\drivers\etc\hosts

添加两行:

127.0.0.1       peer1

127.0.0.1       peer2

 

测试代码放在了 git 上:https://github.com/yejingtao/forblog/tree/master/cookie-domain

核心代码如下:

@Value("${cookie.value}")
    String cookieValue;
	
    @RequestMapping("/setCookie")
    public String home(HttpServletResponse response,HttpServletRequest request) {
    	Cookie cookie = new Cookie("testName", cookieValue);
    	response.addCookie(cookie);
        return "Success";
    }
    
    @RequestMapping("/getCookie")
    public String home(HttpServletRequest request) {
    	StringBuffer sb = new StringBuffer();
    	Cookie[] cookies = request.getCookies();
    	if(cookies!=null) {
    		for(Cookie cookie : cookies) {
    			sb.append(cookie.getName());
    			sb.append(",");
    			sb.append(cookie.getValue());
    			sb.append(";");
    		}
    	}
        return sb.length()==0?"Empty":sb.toString();
    }

测试前先看下我本机的cookie有哪些内容,需要对peer1peer2这两个域名做下清理:

Chrome浏览器为例:

设置--高级内容设置—cookie—查看所有cookie和网站数据,保证不要有peer1peer2cookie数据。

浏览器请求http://peer1:8087/setCookie,会发现cookie里多了peer1

打开箭头可以看到详细的cookie信息,cookie的属性有我们代码中显式设置的,也有隐式默认的:


此时我们请求peer1getCookie是可以获取到cookie值的,请求peer2getCookie是获取不到cookie内容的,所以验证了cookie是不能跨域的,而这个域是浏览器请求的域名,哪怕他们最终的服务端是一起的也不可以跨越。

上图中cookie值里有个域名peer1,这个不是我们代码中显式设置的,浏览器默认帮我们根据域名设置的,那么如果我显式设置一个跟域名对不上的domain会如何呢?

setCookie代码增加一行:

 @RequestMapping("/setCookie")
    public String home(HttpServletResponse response,HttpServletRequest request) {
    	Cookie cookie = new Cookie("testName", cookieValue);
    	cookie.setDomain("peer2");
    	response.addCookie(cookie);    	
        return "Success";
    }

清理浏览器cookie、重启服务后访问peer1setCookie

奇怪的是无论是peer1getCookie还是peer2getCookie都获取不到cookie内容,而且设置里面也确实没有。难道是浏览器自己的安全机制发现我setDomain与域名不匹配所以认为这是个无效的cookie就没有保存?调用下peer2setCookie就可以验证这一猜想,测试结果是肯定的。

Cookie是不安全的,浏览器、脚本类语言、甚至直接访问cookie保存文本的地址都可以获取到Cookie信息,所以尽量不要讲敏感内容保存在cookie中,即便是密码之类的可以进行加密,但是别人可以不需要解密直接使用你cookie中的内容进行欺骗。所以在服务端对cookie使用时,尽量设置超时时间,客户端尽量cookie不使用时(例如浏览器关闭)及时清空。

 

Cookie是客户端保存的内容,Session是服务端保存的内容,Session对于单个客户来说是安全的,而Cookie是客户共享的。所以可以推断得出从安全角度讲能用Session的情况尽量不要用Cookie,特别是现在Redis等共享缓存组件的使用使服务端存储Session的能力大大加强。


最后回到本文最开始的那张图,我们将代码再修改下验证下第一张图。

代码修改如下:

 

 @RequestMapping("/setCookie")
    public String home(HttpServletResponse response,HttpServletRequest request) {
    	request.getSession().setAttribute("sessionID", "haha");
        return "Success";
    }

请求后浏览器会保留一个cookie来存取sessionID







牛麦康纳
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
设置跨域名的Cookie
06-20
所有的网站开发者都会非常喜欢cookie的强大特性和易用性,它在跟踪用户信息,建设人性化、个性化的网站方面,有着强大的作用,而且,又避免了使用数据库的昂贵开销。但是,cookie却不能跨越域传递,只有那些创建它的域才能访问;这里,我们讨论如何利用ASP突破这个限制。
面试官问:跨域请求如何携带cookie?
u012384510的博客
03-07 2682
大家好,我是若‍川。持续组织了6个月源码共读活动,感兴趣的可以点此加我微信 ruochuan12参与,每周大家一起学习200行左右的源码,共同进步。同时极力推荐订阅我写的《学习源码整体架...
axios中cookie跨域及相关配置示例详解
11-30
前言 最近在跨域cookie 以及表单上传这几个方面遇到了点小问题,做个简单探究和总结。本文主要介绍了关于axios中cookie跨域及相关配置的相关内容,下面话不多说了,来一起看看详细的介绍吧。 1、 带cookie请求 – 画个重点 axios默认是发送请求的时候不会带上cookie的,需要通过设置withCredentials: true来解决。 这个时候需要注意需要后端配合设置: header信息 Access-Control-Allow-Credentials:true Access-Control-Allow-Origin不可以为 ‘*’,因为 ‘*’ 会和 Access
cookie中的path与domain属性详解
12-07
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.jb51.net/test/test.aspx,那么domain默认为www.jb51.net。而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。 2.path表示cookie所在的目录,asp.net默认为/,就是根目录。在同一个服务器上有目录如下:/te
Django+Vue跨域环境配置详解
12-09
概述 在使用Django+Vue开发过程中,遇到了很多开发环境相关的问题,比如跨域,比如ajax请求参数等,本篇文章主要记录解决在开发过程中,遇到的一些问题。 跨域不带Cookie 在使用Vue脚手架开发的过程中,会使用Vue脚手架自带的Server进行项目调试,Vue自带的Server支持 hot reloading ,这个特性是非常好用的。但是在开发过程中,因为要与后端交互,所以在请求后端接口的时候,会遇到跨域问题,这个问题在一些职责划分清楚的团队并不存在,因为前端开发人员会才用Mock数据的方式。 Webpack配置 采用Webpack dev server的 proxyTable
cookie 跨域问题
热门推荐
chou_out_man的博客
06-12 4万+
cookie 跨域访问 一、 前言 随着项目模块越来越多 ,很多模块现在都是独立部署, 模块之间的交流有事可能会通过cookie完成 , 比如说门户和应用部署在不同的机器或者web容器中 , 假如用户登录之后会在浏览器客户端写入cookie (记录着用户上下文信息) , 应用想要回去门户下的cookie , 这就产生了cookie跨域的问题 。 二、 cookie介绍 c...
深入浅出系列之cookie跨域
TK_lTlei的博客
07-06 955
cookie 定义 Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网的快速发展,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态。为了适应用户的需求,技术上推出了各种保持Web浏览状态的手段,其中就包括了Cookie技术 工作原理 浏览器第一次访问服务器 服务器生成COOKIE,并设置SESSIONID 服务器返回COOKIE给浏览器 浏览器本地保存COOKIE 之后每次HTTP请求浏览器都会将COOKIE发送给服务器端 cookie构成 字段 作用
Cookie跨域的问题
qq_41545233的博客
04-28 3883
Cookie是不能跨域的 比如说,我们请求<https://www.google.com/>时,浏览器会自动把google.com的Cookie带过去给google的服务器,而不会把<https://www.baidu.com/>的Cookie带过去给google的服务器。 这就意味着,由于域名不同,用户向系统A登录后,系统A返回给浏览器的Cookie,用户再请求系统B...
实现cookie跨域共享的两种方式
大胡子老哥的博客
03-24 2万+
目录跨域概念为何限制跨域?如何安全跨域?(如何实现跨域主要参考这里)如何实现cookie跨域共享?cookie的概念cookie的特性跨多域共享cookie( a.com和b.com共享 ) 跨域概念 在域a下通过 ajax 的方式访问域b下的资源。 域相同满足的条件:域名相同(子域名不同视为不同),端口号相同 为何限制跨域? 请了解跨站脚本攻击(XSS) 如何安全跨域?(如何实现跨域主要参考这里) 在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sh
Cookie跨域吗?如何设置?
最新发布
小草莓的博客
11-09 1984
在以上代码中,fetch 请求中的 credentials 设置为 include,并且响应头中设置 Access-Control-Allow-Credentials 为 true,就可以实现 Cookie跨域访问。对于跨域请求,在客户端需要明确指定携带 Cookie,可以通过 XMLHttpRequest 对象或 Fetch API 的 credentials 属性进行设置。在一般情况下,Cookie 是不允许跨域的。跨域设置 Cookie 只能在响应中设置,而不能在请求中设置。
利用Nginx反向代理解决跨域问题详解
01-10
问题 在之前的分享的跨域资源共享的文章中,有提到要注意跨域时,如果要发送Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。在此次项目开发中与他人协作中就遇到此类问题。 解决思路 一般来说,与后台利用CORS跨域资源共享将Access-Control-Allow-Origin设置为访问的域名即可,这个需要后台的配合,且有些浏览器是不支持的。 基于与合作方后台的配合,利用nginx方向代理来满足浏览器的同源策略来实现跨域 实现方法 反向代理概念 反向代理(Reverse Proxy)方式是指以代理服务器来接受In
Cookie那些事儿(Cookie跨域Cookie共享、SSO)
m0_51963973的博客
06-28 1961
HTTP 是无状态的协议,每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。Cookie是服务器发送到用户浏览器并保持在本地的一小块信息,他会在浏览器下次向服务器发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器。在应用模型,一个完整的,有独立访问路径的功能集合称为一个域。
axios的基本应用
qesrdtcfvgb的博客
09-28 254
安装:npm install axios -S # 也可直接下载axios.min.js文件 1、axios借助Qs对提交数据进行序列化 axios发送get请求 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>发送AJAX请求</title> </head> <body> &l
跨域cookie
醉逍遥neo的博客
01-29 1946
为什么会出现跨域?出于浏览器的同源策略限制,浏览器会拒绝跨域请求。什么情况下出现跨域?不同源就会跨域。同源即:协议、域名、端口号都相同。任意一项不同就会跨域。例如 https://127.0.0.1:8000为什么会有跨域需求?项目工程服务化后,不同职责的服务分散在不同的工程中,往往这些工程的域名是不同的,但一个需求可能需要对应到多个服务,这时便需要调用不同服务的接口,因此会出现跨域跨域只是浏览器的限制,服务器没有跨域问题
Cookie跨域操作
hanxin的专栏
02-28 1618
正常的cookie只能在一个应用中共享,即一个cookie只能由创建它的应用获得。 1.可在同一应用服务器内共享方法:设置cookie.setPath("/"); 2.跨域共享cookie的方法:设置cookie.setDomain(".jszx.com");
CookieCookie简介以及跨域问题
Ez4Sterben的博客
06-29 2403
cookie是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookie就好像你的一张身份证,你电脑上的cookie和其他电脑上的cookie是不一样的。首先我们打开一个页面按F12在应用中我们可以找到Cookie,其中的Domain就是Cookie所述的域名,跨域就是默认情况下Cookie是无法被携带到其他域名下的当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域当前页面url被请求页面url是否跨域原因。
跨域】一篇文章彻底解决跨域设置cookie问题!
lonelysnowman的博客
01-08 1万+
之前做项目的时候发现后端传过来的 SetCookie 不能正常在浏览器中使用。是因为谷歌浏览器新版本Chrome 80将Cookie的SameSite属性默认值由None变为Lax。接下来带大家解决该问题。
Cookie跨域存储问题
qq_43750656的博客
09-09 2478
单点登录模式,如果是前后端分离,则暴露前端地址,检测跳转的前端地址中有没有指定的token,如果有则存储token并放行,如果没有,则校验cookiesessionStorage中有没有,有则放行,没有则重定向到sso统一登录页面进行登录,并且传递服务器的地址,登录成功后跳转至服务器,服务器校验后重新重定向到前端地址,如果直接访问服务器地址,则还是校验有没有携带token,如果有,继续校验,没有检测请求头或者cookie,都没有则重定向到sso统一登录页面。可通过chrome插件调整。
cookie跨域问题
08-02
回答: Cookie跨域问题是指在浏览器中,当一个站点在请求另一个域名下的接口时,无法直接获取到该域名下的Cookie信息。这是由于浏览器的同源策略所导致的。同源策略要求请求的域名、协议和端口号都必须一致才能够共享...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值