cookie信息无法获取问题研究

于 2023-09-18 18:01:28 发布
阅读量1.6k 收藏
点赞数 1
文章标签: 状态模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RAXCL/article/details/132990096
版权

背景

在oneapi这个前后端都有的开源项目中,我想接入chatnextweb到oneapi的后端。

由于需要二开chatnextweb,添加登录注册功能,考虑到java后端的性能问题和内存占用,决定不重启写个服务,而是将登录注册接入到oneapi的登录注册api,没错,和oneapi的前端公用一套登录注册

熬了个大夜后,终于对接好了登录注册,并且数据写成功的流转了起来。

就在我以为没问题的时候,问题来了,前端在使用登录后的功能时,自动跳转到了登录页面,没错,前端判定当前页面出于未登录的状态。于是麻烦的debug开始了......

问题分析过程

梳理了一遍前端代码逻辑,关于是否登录的判断取决于token是否为空,在登录后,前端会将获取到了token暂存

紧接着在调用其他登录后的界面时,前端判断token是否为空,如果为空就不展示,并且跳转到登录界面,以下截图效果差不多,虽然没有登录跳转逻辑,但也放上来了

经过debug后,发现后端返回的token为空,梳理了后端代码,发现后端的鉴权是通过cookie和session,前端是通过token,但是问题不大,后端在注册时也会生成token,只需要调用获取token的接口即可。

于是我这么做了,新的问题也这么来了,鉴权失败,后端解析cookie里面的用户数据,解析为空.......

又分析了一波后端代码,发现在登录时,后端会将用户信息封装到session里面,然后保存到cookie中

最后封装后的cookie是这样的:

session=MTY5NTAwNTA3N3xEWDhFQVFMX2dBQUJFQUVRQUFCc180QUFCQVp6ZEhKcGJtY01CQUFDYVdRRGFXNTBCQUlBQWdaemRISnBibWNNQ2dBSWRYTmxjbTVoYldVR2MzUnlhVzVuREFZQUJISnZiM1FHYzNSeWFXNW5EQVlBQkhKdmJHVURhVzUwQkFNQV84Z0djM1J5YVc1bkRBZ0FCbk4wWVhSMWN3TnBiblFFQWdBQ3y5yImQjaV60qV8krs0fEG0tfGUzIu6sOCXYOTtpJaUlw==; Path=/; Expires=Wed, 18 Oct 2023 02:44:37 GMT; Max-Age=2592000

那么为什么会解析为空呢?oneapi自带的前端能正常解析,但新接入的前端解析就为空,为什么呢?网上给出的答案是因为跨域了,导致传入的cookie是新的cookie,所以没有数据,抱着怀疑的态度,我在后端写了一个获取cookie中用户数据的接口,并通过postman进行调用,尝试验证传入的cookie。

果然,网上果然不是很靠谱,用户数据成功解析,传入的cookie没有问题。

继续分析,说是非同源跨域导致的,cookie无法传入到后端,我想了想,前端调用localhost:3001/getCookie,然后转发到localhost:3000/getCookie,确实是非同源跨域,于是有了两种解决方案

  1. 使用代理
  2. 手动传入Cookie

使用代理

按照oneapi前端设置代理的方法进行设置,发现不可行,暂时放弃这条思路(感觉深究下去,使用代理是一定可行的,比如使用nginx等。)

手动传入Cookie

主要是想尝试一下手动传入Cookie,因为有大佬说它就是采用这种方案

居然还是解析失败,这就奇怪了

除了手动传入cookie,我还尝试添加 credentials: 'include',作用是即使跨域,也能成功传入cookie,但也不行

于是又开始了debug的过程,看了很多篇博客后,找到一个思路可行的,说后端需要配置跨域访问,记得之前看到过后端跨域的代码,又翻出来看了看,发现了问题:

func CORS() gin.HandlerFunc {
	config := cors.DefaultConfig()
	config.AllowAllOrigins = true
	config.AllowCredentials = true
	config.AllowMethods = []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}
	config.AllowHeaders = []string{"*"}
	return cors.New(config)
}

func DefaultConfig() Config {
	return Config{
		AllowMethods:     []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},
		AllowHeaders:     []string{"Origin", "Content-Length", "Content-Type"},
		AllowCredentials: false,
		MaxAge:           12 * time.Hour,
	}
}

问题就出在 AllowCredentials: false, 这一行,chatgpt告诉我,这代表了后端设置了不允许跨域认证,就是说你可以跨域,但不可以认证鉴权

所以前端调用不管是 手动传入cookie,还是添加 credentials: 'include',都不行,因为跨域了。

那么解决办法就很明显了,不要让它跨域,又得出了两个解决方案,使用代理,或者写全url。

关于写完整domain(就是url)

如果不写全量url,最后访问的是3001,也就是前端地址,然后前端再通过next等某些操作进行转发到3000(没细看),也就导致了非同源

所以需要写完整domain,并且可以不用手动传cookie

fetch('http://localhost:3000/api/user/token', {
  method: 'GET',
  headers: {
    "Content-Type": "application/json",
  },
})

总结

成功传入cookie的方案总结:

  1. 使用代理
  2. 使用全量domain
梦魇梦狸º
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie 获取不到设定
BearSilencer的博客
02-08 1578
检查后台cookie 读取不到的处理步骤和方法 1,检查是否给cookie。前端还是后台 2,检查path是否设定好范围。cookie 要设定path的属性来确定使用范围 3,检查cookie是否包含特殊字符。无特殊字符可获取到,有特殊字符无法获取 Cookie [] cookies = request.getCookies(); 获取cookie 不能包含特殊字符 String cookie = request.getHeader("cookie"),获取所有的cookie,可根.
Servlet Cookie 获取不到问题
reinforceI的博客
06-29 818
servlet cookie el表达式 ${cookie.xxx.value} 读取不了 因为path路径导致浏览器识别不了cookie
IE cookie获取失败
03-06
设置了cookie,在不关闭浏览器的情况下都没什么问题,关闭浏览器之后再重新打开,就读取不到cookie了,失效时间设置的是30天,在网上查了下,IE只支持cookie1版本,里面禁止使用"=,;"等字符
解决cookie获取不到问题
dearbaba_11的博客
09-29 2559
解决cookie获取不到问题
为什么获取不到Cookie?明明浏览器中有
qq_43623455的博客
12-24 1万+
我今天测试了半天我看浏览器中有cookie,就是获取不到,可以试试清除浏览器缓存,我代码都没有写错,清除了一次浏览器缓存就行了。
bug审核01 :获取cookie失败空指针异常
备忘录的博客
04-06 349
cookie获取不到,报错 空指针异常
C#基于WebBrowser获取cookie的实现方法
09-03
本文将深入探讨如何在C#中基于WebBrowser控件实现获取cookie的详细步骤。 首先,为了打开指定URL并加载网页,我们需要监听WebBrowser控件的`DocumentCompleted`事件。当页面加载完成后,我们可以在该事件的处理函数...
javascript设置和获取cookie的方法实例详解
10-23
本文将深入探讨如何使用JavaScript设置和获取cookie,以及相关的关键技巧。 首先,我们来看设置cookie的方法。在JavaScript中,设置cookie通常通过`document.cookie`属性来完成。以下是一个设置cookie的函数`...
解决java后台登录前后cookie不一致问题
08-31
本文将探讨这个问题的原因以及两种可能的解决方案。 **问题分析** 登录前后Cookie不一致的问题可能由以下几个原因引起: 1. **Session ID冲突**:在用户登录过程中,服务器可能会分配一个新的Session ID,但...
JavaScript使用cookie记录临时访客信息的方法
10-24
不过需要注意,由于 cookie 是存储在客户端的,因此存在数据安全性问题,不适合存储敏感信息。此外,每个域名下的 cookie 数量有限,且大小也有限制,因此在设计时应考虑这些因素。总的来说,合理使用 cookie 能够在...
javascript与cookie问题详解
10-26
本文将深入探讨JavaScript操作Cookie时遇到的一些问题及其解决方案。 首先,我们要了解Cookie的基本概念。Cookie是由服务器端发送到客户端(浏览器)的一小段文本信息,浏览器在后续请求中会自动携带这些信息回发给...
手机浏览器无法获取COOKIE的原因
热门推荐
蜗牛的专栏
02-02 1万+
手机浏览器上无法使用cookie,肯能是 1. 浏览器禁用 COOKIE ,这个简单开启即可。 2. 可能是手机所在时区有问题,将COOKIE有效期设置更长时间测试下,在更改时区
Cookie获取、设置、删除及无法获取Cookie的原因
一万个小时
04-10 1万+
//设置cookie function utils_setCookie(cname, cvalue, exdays) { var d = new Date(); d.setTime(d.getTime() + (exdays*24*60*60*1000)); var expires = "expires="+d.toUTCString(); document.cookie = cname
RestFUll Api的坑,cookie不到,你踩过没?
plqwf19880902的博客
10-29 205
当使用PostMapping 存入的cookie里的书数据,存入的是临时的,当前窗口存的有,换个窗口,cookie里的数据就没了 解决方案:把请求方式换成@RequestMapping
cookie不到
DavidSoCool的博客
08-10 4000
在项目中遇到html页面需要做一些记忆操作,选择把记忆操作的存储在cookie中,遇到了某些页面可以获取有些页面获取不到,查阅了一番资料发现cookie也是有路径权限的。 cookie默认路径:当前访问的servlet父路径。 例如:我在http://localhost:8080/myProject/a/b/c/test.html页面设置了一个cookie,我在myProject/a/b/c...
Cookie获取不到后端响应的token
weixin_43567035的博客
11-23 947
随笔 简单给自己也给需要的人提个醒, 给客户端响应cookie时,注意自己的服务器的域名写的是localhost还是127.0.0.1,这两个是不一样的… 以我的这个例子,前端是vue项目,在做登录demo时,一开始的url 是 http://localhost/#/nav/login,发现始终获取不到后端响应回来的cookie(存储了用户token),后面将url改成http://127.0.0.1:8080/#/nav/login,就接收到了。 此刻的心情,绝了,写一篇日志,希望下次别再又忘了这个问题
域名造成后台cookie不到问题
ZoeLinJF的博客
01-09 1537
问题: 网站域名是study.com(例子),请求接口地址是api.study.com,域名不一致,导致后台取不到前台设置的cookie。并且chrome中控制台的请求头中也不会显示cookie。 解决方案: 设置cookie时,配置域名 import Cookies from 'js-cookie'; utils.setCookie = (key, value) => { let ...
当session无法处理cookie时,还可以采用获取cookies赋到请求头的方法
weixin_51064701的博客
04-26 284
import requests url = "http://www.baidu.com" #发送请求,获取resposne response = requests.get(url) print(type(response.cookies)) #使用方法从cookiejar中提取数据,转化为字典 cookies = requests.utils.dict_from_cookiejar(response.cookies) print(cookies) #构建cookies的 mycookie="" for
XSS跨站脚本攻击之——XSS平台搭建与——Cookie获取
温柔小薛的博客
04-05 1033
XSS平台搭建及Cookie获取 准备工作 利用pikachuXSS后台 pikachu\pkxss\inc目录下的config.inc.php 修改mysql用户名密码 登录后台 pikachu\pkxss\xcookie目录解读 cookie.php 获取cookieAPI页面并存到攻击者平台数据库中 获取完后才能重定向一个可信网站,起到迷惑用户隐藏攻击过程的作用 ...
cookie注入工具
最新发布
01-31
Cookie注入工具是一种用于进行网站漏洞测试和渗透测试的工具。它的作用是向目标网站发送恶意Cookie,以获取非法权限或者获取敏感信息。通常情况下,Cookie注入是指攻击者通过伪装成合法用户的身份,向目标网站发送带有恶意Cookie的HTTP请求,从而实现对网站的攻击或者获取用户数据的目的。 Cookie是网站使用的一种机制,用于存储用户的登录信息、会话状态以及个性化设置等数据。然而,当网站在处理Cookie时存在安全漏洞时,攻击者就可以利用Cookie注入工具来进行攻击。攻击者通过构造特定的恶意Cookie,来绕过网站的安全检查和认证控制,从而获得比合法用户更高的权限,例如管理员权限。 使用Cookie注入工具的攻击者可以对目标网站进行各种恶意操作,包括读取、修改、删除或添加敏感数据。例如,攻击者可以通过注入恶意Cookie获取其他用户的个人信息、注入恶意代码、篡改网页内容或者劫持会话等。同时,攻击者还可以利用Cookie注入工具来进行跨站脚本攻击(XSS)或者会话劫持等攻击。 为了防止Cookie注入攻击,网站开发者需要加强对用户输入的过滤和验证,设置合理的安全策略,限制Cookie的范围和有效期,并进行定期的安全漏洞扫描和测试。对于安全研究人员和渗透测试人员来说,Cookie注入工具是一种重要的测试工具,可以帮助他们发现并修复网站的安全漏洞,提升网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值