深入浅出系列之cookie跨域

最新推荐文章于 2023-06-29 17:02:54 发布
最新推荐文章于 2023-06-29 17:02:54 发布
阅读量1k 收藏 3
点赞数
分类专栏: JAVA WEB 文章标签: cookie nginx ajax java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TK_lTlei/article/details/107168609
版权

cookie

定义

Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网的快速发展,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态。为了适应用户的需求,技术上推出了各种保持Web浏览状态的手段,其中就包括了Cookie技术

工作原理

  • 浏览器第一次访问服务器
  • 服务器生成COOKIE,并设置SESSIONID
  • 服务器返回COOKIE给浏览器
  • 浏览器本地保存COOKIE
  • 之后每次HTTP请求浏览器都会将COOKIE发送给服务器端

cookie构成

字段作用
name一个唯一确定的cookie名称。通常来讲cookie的名称是不区分大小写的
value存储在cookie中的字符串值。最好为cookie的name和value进行url编码
domaincookie对于哪个域是有效的。所有向该域发送的请求中都会包含这个cookie信息。这个值可以包含子域(如:yq.aliyun.com),也可以不包含它(如:.aliyun.com,则对于aliyun.com的所有子域都有效)
path表示这个cookie影响到的路径,浏览器跟会根据这项配置,像指定域中匹配的路径发送cookie。
expires失效时间,表示cookie何时应该被删除的时间戳(也就是,何时应该停止向服务器发送这个cookie)。如果不设置这个时间戳,浏览器会在页面关闭时即将删除所有cookie;不过也可以自己设置删除时间。这个值是GMT时间格式,如果客户端和服务器端时间不一致,使用expires就会存在偏差。
max-age与expires作用相同,用来告诉浏览器此cookie多久过期(单位是秒),而不是一个固定的时间点。正常情况下,max-age的优先级高于expires
HttpOnly告知浏览器不允许通过脚本document.cookie去更改这个值,同样这个值在document.cookie中也不可见。但在http请求中仍然会携带这个cookie。注意这个值虽然在脚本中不可获取,但仍然在浏览器安装目录中以文件形式存在。这项设置通常在服务器端设置
secure安全标志,指定后,只有在使用SSL链接时候才能发送到服务器,如果是http链接则不会传递该信息。就算设置了secure 属性也并不代表他人不能看到你机器本地保存的 cookie 信息,所以不要把重要信息放cookie就对了

服务端cookie

设置cookie

        //设置COOKIE
        Cookie cookie = new Cookie("JSEESIONID", UUID.randomUUID().toString());
        //设置生效域
        cookie.setDomain(".baidu.com");
        //设置路径,代表根目录
        cookie.setPath("/");
        //如果不设置此项,cookie将不会写入硬盘,而是写入内存中,只在本页面有效
        //-1 代表永久生效
        cookie.setMaxAge(60 * 60 * 24 * 365);
        cookie.setHttpOnly(true);
        response.addCookie(cookie);

解析cookie

        //解析cookie
        Cookie[] cookies = request.getCookies();

        for (Cookie ck : cookies) {
            log.info("cookie名称:{}", ck.getName());
            //修改cookie的值
            if ("modify".equals(ck.getName())) {
                ck.setHttpOnly(false);
                ck.setMaxAge(-1);
                ck.setPath("/path");
                response.addCookie(ck);
            }
        }

浏览器cookie

发送规则

当我们请求某个URL路径时,浏览器会根据这个URL路径符合条件的Cookie放在Request请求头中传回给服务端,服务端通过request.getCookies()来取得所有cookie

Jquery操作Cookie

//添加一个"会话cookie"
$.cookie('the_cookie', 'the_value');
//创建一个cookie并设置有效时间为 7天
$.cookie('the_cookie', 'the_value', { expires: 7 });
//创建一个cookie并设置 cookie的有效路径
$.cookie('the_cookie', 'the_value', { expires: 7, path: '/' });
//读取cookie
$.cookie('the_cookie');
//删除cookie
$.cookie('the_cookie', null); //通过传递null作为cookie的值即可
//可选参数
$.cookie('the_cookie','the_value',{
    expires:7, 
    path:'/',
    domain:'jquery.com',
    secure:true
}) 

参数说明

  • expires:(天|日期)有效期;设置整数时,单位是天;也可以设置日期对象作为Cookie的过期日期;
  • path:(String)创建该Cookie的页面路径;
  • domain:(String)创建该Cookie的页面域名;
  • secure:(Booblean)如果设为true,那么此Cookie的传输会要求一个安全协议,例如:HTTPS;

cookie在跨域中的问题(如何在跨域请求中携带cookie)

原因

  • cookie路径:不同路径下的URL请求,cookie不能互相访问
  • cookie域:不同域下的URL请求,cookie不能互相访问

解决方案

  • nginx反向代理
  • jsonp
  • 前后端搭配(前端设置withCredentials为true,后端设置Header的方式)

nginx反向代理

//反向代理原理就是将前端的地址和后端的地址用nginx用同一个地址代理,如5500端口和3000端口都转到3003端口下
server
{
   listen 3003;
   server_name localhost;
   ##  = /表示精确匹配路径为/的url,真实访问为http://localhost:5500
   location = / {
       proxy_pass http://localhost:5500;
   }
   ##  /no 表示以/no开头的url,包括/no1,no/son,或者no/son/grandson
   ##  真实访问为http://localhost:5500/no开头的url
   ##  若 proxy_pass最后为/ 如http://localhost:3000/;匹配/no/son,则真实匹配为http://localhost:3000/son
   location /no {
       proxy_pass http://localhost:3000;
   }
   ##  /ok/表示精确匹配以ok开头的url,/ok2是匹配不到的,/ok/son则可以
   location /ok/ {
       proxy_pass http://localhost:3000;
   }
}

jsonp

服务器
@WebServlet("/JsonServlet")
public class JsonServlet extends HttpServlet 
{
    private static final long serialVersionUID = 4335775212856826743L;

    protected void doPost(HttpServletRequest request, HttpServletResponse response) 
            throws ServletException, IOException 
    {
        String callbackfun = request.getParameter("mycallback");
        System.out.println(callbackfun);    // callbackFun
        response.setContentType("text/json;charset=utf-8");
        
        User user = new User();
        user.setName("yuanfang");
        user.setAge(100);
        Object obj = JSON.toJSON(user);
        
        System.out.println(user);            // com.tz.servlet.User@164ff87
        System.out.println(obj);            // {"age":100,"name":"yuanfang"}
        callbackfun += "(" + obj + ")";    
        System.out.println(callbackfun);    // callbackFun({"age":100,"name":"yuanfang"})
        
        response.getWriter().println(callbackfun);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) 
            throws ServletException, IOException 
    {
        this.doPost(request, response);
    }

}
前端
<script type="text/javascript">
function callbackFun(data)
{
    console.log(111);
    console.log(data.name);
    //data.age = 10000000;
    //alert(0000);
}

$("#submit").on("click", function(){     
        $.ajax({
            type:"post",
            url:"http://localhost:8080/html5/JsonServlet",
            dataType:'jsonp',
            jsonp:'mycallback',//传递给后台,以获得jsonp回调函数名
            jsonpCallback:'callbackFun',
            success:function(data) {   
                console.log(data.age);
            }
        });
    })
</script>

前后端搭配

服务器
//跨域请求携带Cookie
//如果需要把Cookie发到服务端,需要指定Access-Control-Allow-Credentials字段为true;
response.setHeader("Access-Control-Allow-Credentials", "true");

//Access-Control-Allow-Origin的值不能为”*”,必须是一个确定的域,与前端配合
response.setHeader("Access-Control-Allow-Origin",request.getHeader("Origin"));

//表明服务器支持的头信息字段
response.setHeader("Access-Control-Allow-Headers","content-type");
前端
$.ajax({
    type: "POST",
    url: "实际的请求地址",
    data: {参数:参数值},
    dataType: "json",
    crossDomain:true, //设置跨域为true
    xhrFields: {
        withCredentials: true //默认情况下,标准的跨域请求是不会发送cookie的
    },
    success: function(data){
        alert("请求成功");      
    }
});

Ajax请求携带Cookie

  • **同源:**ajax会自动带上同源的cookie,不会带上不同源的cookie
  • **不同源:**前端设置withCredentials为true,后端设置Header的方式让ajax自动带上不同源的cookie

服务器跨域请求配置

//跨域请求配置(此跨域请求配置不能携带Cookie)
//允许跨域的域名,*号为允许所有,存在被 DDoS攻击的可能。
response.setHeader("Access-Control-Allow-Origin","*");

//表明服务器支持的所有头信息字段
response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma,Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");

/** 目前测试来看为了兼容所有请求方式,上面2个必须设 **/

//如果需要把Cookie发到服务端,需要指定Access-Control-Allow-Credentials字段为true;
response.setHeader("Access-Control-Allow-Credentials", "true");

//首部字段 Access-Control-Allow-Methods 表明服务器允许客户端使用 POST, GET和OPTIONS方法发起请求。
//该字段与 HTTP/1.1 Allow: response header 类似,但仅限于在需要访问控制的场景中使用。
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");

//表明该响应的有效时间为 86400 秒,也就是 24 小时。在有效时间内,浏览器无须为同一请求再次发起预检请求。
//请注意,浏览器自身维护了一个最大有效时间,如果该首部字段的值超过了最大有效时间,将不会生效。
response.setHeader("Access-Control-Max-Age", "86400");

// IE8 引入XDomainRequest跨站数据获取功能,也就是说为了兼容IE
response.setHeader("XDomainRequestAllowed","1");
雷老汉
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出Nodejs和webkit技术内幕
03-27
深入浅出Node.js》与《WebKit技术内幕》这两本书是JavaScript开发者深入理解Node.js和WebKit技术的重要参考资料。本文将围绕这两个主题,详细介绍其中的知识点。 首先,Node.js是一个基于Chrome V8引擎的...
Cookie跨域吗?如何设置?
最新发布
小草莓的博客
11-09 4041
在以上代码中,fetch 请求中的 credentials 设置为 include,并且响应头中设置 Access-Control-Allow-Credentials 为 true,就可以实现 Cookie跨域访问。对于跨域请求,在客户端需要明确指定携带 Cookie,可以通过 XMLHttpRequest 对象或 Fetch API 的 credentials 属性进行设置。在一般情况下,Cookie 是不允许跨域的。跨域设置 Cookie 只能在响应中设置,而不能在请求中设置。
Cookie详解与跨域问题
咖啡男孩之SRE之路
11-23 6692
Http是无状态的协议,客户端每次对服务端的http请求都是独立的,不受该客户端其它的请求的影响。 为了把Http这个无状态协议变的与上下文有关系,我们引入了会话(Session)的概念,具有相同会话ID的请求使之变成了有状态。 服务端可以给请求setSession的信息,信息保存在服务端内存,同时在response时将session内容推送给客户端浏览器,浏览器为了保存SessionID等信息,又有了Cookie这玩意,Cookie本质是一块存储少量数据的存储空间,可以存到内存也可以写入磁盘。每次浏览器向
cookie 跨域问题
热门推荐
chou_out_man的博客
06-12 4万+
cookie 跨域访问 一、 前言 随着项目模块越来越多 ,很多模块现在都是独立部署, 模块之间的交流有事可能会通过cookie完成 , 比如说门户和应用部署在不同的机器或者web容器中 , 假如用户登录之后会在浏览器客户端写入cookie (记录着用户上下文信息) , 应用想要回去门户下的cookie , 这就产生了cookie跨域的问题 。 二、 cookie介绍 c...
Cookie跨域的问题
qq_41545233的博客
04-28 4020
Cookie是不能跨域的 比如说,我们请求<https://www.google.com/>时,浏览器会自动把google.com的Cookie带过去给google的服务器,而不会把<https://www.baidu.com/>的Cookie带过去给google的服务器。 这就意味着,由于域名不同,用户向系统A登录后,系统A返回给浏览器的Cookie,用户再请求系统B...
面试官问:跨域请求如何携带cookie?
u012384510的博客
03-07 2819
大家好,我是若‍川。持续组织了6个月源码共读活动,感兴趣的可以点此加我微信 ruochuan12参与,每周大家一起学习200行左右的源码,共同进步。同时极力推荐订阅我写的《学习源码整体架...
实现cookie跨域共享的两种方式
大胡子老哥的博客
03-24 2万+
目录跨域概念为何限制跨域?如何安全跨域?(如何实现跨域主要参考这里)如何实现cookie跨域共享?cookie的概念cookie的特性跨多域共享cookie( a.com和b.com共享 ) 跨域概念 在域a下通过 ajax 的方式访问域b下的资源。 域相同满足的条件:域名相同(子域名不同视为不同),端口号相同 为何限制跨域? 请了解跨站脚本攻击(XSS) 如何安全跨域?(如何实现跨域主要参考这里) 在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sh
Extjs深入浅出pdf
09-21
深入浅出EXTJS 的PDF 文档无疑是一个宝贵的资源,适合那些希望深入了解该框架的开发者。以下是对文档中提到的一些关键知识点的详细解释: 1. **Ext.data**:EXTJS 的数据模块是其核心组件之一,它提供了一种在...
ASP.NET AJAX深入浅出系列课程(17):关注ASP.NET AJAX的核心:ScriptManager
09-25
**ASP.NET AJAX深入浅出系列课程(17):关注ASP.NET AJAX的核心——ScriptManager** 在ASP.NET AJAX框架中,`ScriptManager`组件是至关重要的一个部分,它扮演着协调客户端脚本和服务器端功能的角色,使得Web应用...
深入浅出Ajax(Head Rush Ajax) 源码 书中代码
03-30
在"深入浅出Ajax"这本书中,作者深入讲解了Ajax的基本原理和实际应用。 **章节概览** 根据描述,这本书分为七章,每章可能涵盖以下关键知识点: 1. **第一章:初识Ajax** - Ajax的历史和概念 - Ajax工作原理的...
ASP.NET AJAX深入浅出系列课程(4):客户端访问WebService(上):基本使用方式
09-25
ASP.NET AJAX 深入浅出系列课程是一个旨在帮助开发者深入了解和熟练掌握ASP.NET AJAX技术的教程。在第四部分,我们重点关注的是客户端如何通过AJAX技术访问WebService,这是Web应用程序中实现异步交互的关键技术。本...
CookieCookie简介以及跨域问题
Ez4Sterben的博客
06-29 3147
cookie是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookie就好像你的一张身份证,你电脑上的cookie和其他电脑上的cookie是不一样的。首先我们打开一个页面按F12在应用中我们可以找到Cookie,其中的Domain就是Cookie所述的域名,跨域就是默认情况下Cookie是无法被携带到其他域名下的当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域当前页面url被请求页面url是否跨域原因。
跨域cookie
醉逍遥neo的博客
01-29 2079
为什么会出现跨域?出于浏览器的同源策略限制,浏览器会拒绝跨域请求。什么情况下出现跨域?不同源就会跨域。同源即:协议、域名、端口号都相同。任意一项不同就会跨域。例如 https://127.0.0.1:8000为什么会有跨域需求?项目工程服务化后,不同职责的服务分散在不同的工程中,往往这些工程的域名是不同的,但一个需求可能需要对应到多个服务,这时便需要调用不同服务的接口,因此会出现跨域跨域只是浏览器的限制,服务器没有跨域问题。
Cookie跨域操作
hanxin的专栏
02-28 1659
正常的cookie只能在一个应用中共享,即一个cookie只能由创建它的应用获得。 1.可在同一应用服务器内共享方法:设置cookie.setPath("/"); 2.跨域共享cookie的方法:设置cookie.setDomain(".jszx.com");
跨域】一篇文章彻底解决跨域设置cookie问题!
lonelysnowman的博客
01-08 1万+
之前做项目的时候发现后端传过来的 SetCookie 不能正常在浏览器中使用。是因为谷歌浏览器新版本Chrome 80将Cookie的SameSite属性默认值由None变为Lax。接下来带大家解决该问题。
解决跨域设置Cookie问题
tangyuewei.com
04-10 2万+
如a.123.com跨域访问b.123.com/request、 b.123.com服务器使用nginx允许跨域,Access-Control-Allow-Origin:* 如果a、b服务不在同一个服务器 前台页面请求报错信息为: Access to XMLHttpRequest at 'http://b.123.com' from origin 'http://a.123.com'...
Cookie跨域存储问题
qq_43750656的博客
09-09 2655
单点登录模式,如果是前后端分离,则暴露前端地址,检测跳转的前端地址中有没有指定的token,如果有则存储token并放行,如果没有,则校验cookie或sessionStorage中有没有,有则放行,没有则重定向到sso统一登录页面进行登录,并且传递服务器的地址,登录成功后跳转至服务器,服务器校验后重新重定向到前端地址,如果直接访问服务器地址,则还是校验有没有携带token,如果有,继续校验,没有检测请求头或者cookie,都没有则重定向到sso统一登录页面。可通过chrome插件调整。
Cookie跨域以及Cookie共享问题
qq_43750656的博客
09-14 5524
解决跨域以后,如何允许跨域请求携带cookie,例如访问B的接口,默认情况下是不允许带cookie的,此时需要设置axios的withcredentials的属性为true,告诉浏览器在访问B网站时,将B网站的cookie带上,此时光前端设置还不行,还需要后端在响应头中添加 allow-withcredentials = true,这样就可以保证跨域请求也可以携带cookie。在站点A下面访问B域名的接口,那么这是一个跨域请求,如果不做处理,此时这个请求就跨域了,浏览器在接收到响应以后会直接报错。
跨域请求携带cookie
乐辞的博客
11-14 3115
默认情况下是跨域是不会携带cookie的,例如:a.com 网站请求 b.com 的接口,这个时候不会把a.com这个域名下的 cookie 携带上。如果需要携带,则需要做一下配置。
"深入浅出nginx:从简介到实战
Nginx是一个高性能的HTTP和反向代理服务器,可以用来实现负载均衡、动静分离、缓存加速等功能,被广泛应用于大型网站和互联网环境中。...希望本文能够帮助读者深入理解nginx,并在实际工作中得到应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值