跨站、跨域、cookie注入

已于 2024-03-31 12:26:43 修改
阅读量1.5k 收藏 3
点赞数 1
分类专栏: web前端 cookie 文章标签: cookie ajax跨域问题 前端
于 2021-08-07 22:12:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Trifling_/article/details/119491330
版权

简述

之前对cookie相关知识一直零零碎碎,最近工作中遇到些相关问题,于是又整体重新梳理了一面,算是一个总结。主要介绍如何跨域、跨站注入cookie,以及踩过过的一些。

本文所用到的虚拟URL说明

http://dev.proxy.com:3000/  浏览器访问URL

http://dev.fws.proxy.com:3001/ 跨域接口URL

http://dev.other.com:3001/  跨站接口URL

概念

跨站(cross-site):两个 URL 的 eTLD+1 相同即可,忽略协议、端口(不满足即跨站)

跨域(cross-origin):两个 URL 的协议/主机名/端口一致(不满足即跨域)

跨站一定跨域,跨域不一定跨站

set-cookie 相关api:Set-Cookie - HTTP | MDN

Domain: 只能设置当前域、主域

1、默认当前完整域前面不会加点,完全匹配

2、手动设置时前面加不加点浏览器都会解析为加点,即domain域、子域都携带

eg: 访问http://dev.fws.proxy.com ,domain = proxy.com 或者 dev.fws.proxy.com

Path:请求必须包含path,才会携带本次注入的cookie

SameSite: 默认Lax 

1、设置None必须存在Secure 

2、跨站注入cookie 则必须设置None

跨站注入cookie

1、需是https 协议

2、set-cookie:_token=xxxxxx;domain=other.com;path=/;SameSite=None:Secure 

3、服务端进行相关跨域配置

  res.header("Access-Control-Allow-Origin", "http://dev.proxy.com:3000");

  res.header("Access-Control-Allow-Headers", "X-Requested-With");

  res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");

  res.header("Access-Control-Allow-Credentials", true)

  注意:Access-Control-Allow-Origin 必须指定具体域,不能设置 *

             Access-Control-Allow-Credentials 必须 true

4、web访问 withCredentials:true

跨域注入cookie

1、http、https协议均可

2、set-cookie:_token=xxxxxx;domain=.proxy.com;path=/

3、服务端跨域设置同上

4、web访问 withCredentials:true 否则无法注入cookie

小节:

1、跨域访问 web必须 withCredentials:true,默认浏览器是不携带cookie

2、服务跨域配置

3、path 必须要手动指定

cookie查看

1、浏览器开发者工具dev-tool  查看cooke可能未全部枚举(LZ踩过坑),一般是没问题

      通过浏览器URL旁边cookie查看,或者抓包

2、iframe 嵌入的域 dev-tool 查看会作为独立域查看,会加载浏览器中该域所有cookie并遵循跨站规则,第一次请求就会携带所有cookie

其它

1、默认浏览器各窗口同域cookie是共享的,当前浏览器URL访问的域所有cookie都会展示到dev-tool

2、浏览器静态资源请求多个相同请求,浏览器查看时可能会只展示一个(抓包查看),同一个请求服务可根据参数请求cookie决定是否返回cookie

3、不管任何方式的跨站加载(xhr、iframe、link)默认都无法直接注入cookie与携带cookie

4、浏览器配置SameSite: chrome://flags 

trifling_
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net Cookie跨域、虚拟目录等设置方法
10-29
总的来说,正确设置Cookie的`Domain`和`Path`属性对于实现跨域和跨虚拟目录的数据共享至关重要。同时,掌握如何在ASP.NET中创建、更新和清除Cookie的知识,对于开发高效、安全的Web应用具有重要意义。在实际开发中,...
asp cookie注入读取通用代码
12-24
2. **安全性**:使用Cookie来保持登录状态可能会带来安全风险,如CSRF(跨站请求伪造)攻击。因此,应确保Cookie值的安全性,如使用加密算法对敏感信息进行编码,并考虑配合其他的防护措施。 3. **跨域问题**:...
详细记录如何在跨域请求中携带cookie
qq_35385241的博客
02-28 5206
1. 搭建环境 1.生成工程文件 npm init 2.安装 express npm i express --save 3.新增app1.js,开启服务器3001 const express = require('express') const app = express() const port = 3001 // 设置`cookie` app.get("/login", (req, res) => { res.cookie("JESSIONID", "10101001", {
跨站点设置 Cookie
weixin_43536737的博客
04-21 2679
网站跨站点实现单点登录的实现前言实现方法跨子域(Across-Subdomains)完全跨域(Across-Domains)用户首次单点登录用户跨站访问用户退出登录结语参考资料 前言 网站的用户身份验证往往使用 Cookie 技术。用户在一个网站进行登录以及身份验证的过程一般为: 在登录页面进行登录后,将登录用户的用户名等信息加密后写在本地浏览器中,也就是一个 Cookie,我们把这个 Cookie 叫做票(Ticket)。 需要判断用户是否登录的页面,需要读取相应 Ticket,并从中解密出用户信息,
什么是跨域?一文弄懂跨域的全部解决方法
最新发布
06-05 1万+
什么是跨域?一文弄懂跨域的全部解决方法
CORS跨域问题以及跨域之后Set-Cookie无法设置Cookie问题
风起
10-07 3191
文章目录express使用`cors`库自己写一个中间件跨域Set-Cookie无效 服务端-express express 使用cors库 const cors = require('cors') app.use(cors()) 从库的源代码中,我们可以看出使用的是res.setHeader方法。 自己写一个中间件 module.exports = () => (req, res, next) => { const ref = req.headers.origin; res.hea
解决跨域设置Cookie问题
热门推荐
tangyuewei.com
04-10 2万+
如a.123.com跨域访问b.123.com/request、 b.123.com服务器使用nginx允许跨域,Access-Control-Allow-Origin:* 如果a、b服务不在同一个服务器 前台页面请求报错信息为: Access to XMLHttpRequest at 'http://b.123.com' from origin 'http://a.123.com'...
网站跨站点单点登录实现--cookie
andaren6337的博客
12-30 116
至于什么是单点登录,举个例子,如果你登录了msn messenger,访问hotmail邮件就不用在此登录。一般单点登录都需要有一个独立的登录站点,一般具有独立的域名,专门的进行注册,登录,注销等操作 我们为了讨论方便,把这个登录站点叫做站点P,设其Url为http://passport.yizhu2000.com,需要提供服务的站点设为A和B,跨站点单点登录是指你在A网站进行登录后,...
跨域时怎么处理 cookie
hyqhyqhyqq的博客
05-11 1371
结果很意外,请求的响应被浏览器拦截了,浏览器还贴心的在console上抛出了一个错误。这里要注意,浏览器不是在请求阶段就对请求进行拦截,而是正常发出请求,拿到服务端的响应之后,开始查看响应header里面有没有Access-Control-Allow-Origin这个header,如果没有,响应的结果就不会到js那里去。登录是基于session的,也就是说,登录成功后,server会通过set-cookie,将cookie设置到浏览器中,这样,下次访问同源下的api时,cookie就会被带上。
二级域名或跨域共享Cookies的实现方法
09-06
当涉及到二级域名或跨域共享时,这意味着一个网站的Cookie需要在它的子域名或者完全不同的域下也能被访问。 **实现步骤** 1. **设置`Domain`属性**:这是实现跨域共享的关键。在创建或更新Cookie时,需要设置`...
web安全,关于跨站攻击等方面的提问
05-08
跨站攻击】是Web安全领域中的重要话题,主要涉及XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)等类型。跨站攻击利用了Web应用程序的信任边界,允许攻击者在用户的浏览器中执行恶意脚本或发起...
js跨域请求数据的3种常用的方法
11-24
- JSONP比CORS更兼容老版本的浏览器,但安全性较弱,因为任何可以注入`<script>`标签的地方都可能触发JSONP请求。 - CORS提供了更多的控制,如预检请求(OPTIONS)、允许的HTTP头、以及是否允许携带Cookie等。 ...
本地nginx处理vue开发时因为跨域而无法保set-cookie的问题
littlebearGreat——宁静致远
03-15 1348
以往用vue开发时,处理跨域问题只需要在xue.config.js文件中配置proxy即可,如下 devServer: { open: true, //是否自动弹出浏览器页面 // host: "localhost", port: '8080', https: false, //是否使用https协议 hotOnly: false, //是否开启热更新 proxy: { //开发环境 '/api': {
Cookie 的 SameSite 属性
一劍傾城
07-29 1100
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie跨站点时,任何情况下都不会发送 Cookie。换...
cookie跨站脚本漏洞解决方案
a7412605567的博客
10-17 297
近日项目碰到一个跨脚本注入的问题: 这安全测评工具也是厉害了,直接将脚本注入cookie里头,以前没有碰到这样的情况。 之前写过一篇文章过滤跨脚本注入的问题。《浅谈XSS攻击原理与解决方法》关于跨脚本注入的问题,不晓得原理的同学可以看下。但是里头没有处理cookie注入的问题。接下来介绍下如何处理。 关键代码在这里:首先获取到cookie,检查下是否有敏感字符,如果有的话,就...
P3P header让跨域set-cookie成为现实
仲伟涛学习笔记
04-09 1106
在IE中,页面通过FRAME,JS,IMG等引用其他域名页面的时候,P3P协议会阻止引用也的cookie。举例说明:在B.COM中,此时,test.php中产生的cookie将会被阻止,而不会记录下来这种情况下,我们引入P3P header,情况就改变喽~P3P header允许跨域访问隐私数据,从而可以跨域set-cookie成功在www.a.com/
xss跨站攻击 cookie设置
冯索的专栏
11-16 2777
关于cookie的问题,很多时候遇到的是信息泄露,为什么会有信息泄露,首先要了解什么是xss跨站脚本攻击,xss跨站攻击简单来说就是插入恶意代码,或者劫持用户cookie,从而达到操纵系统的目的。 因此在浏览器上设置cookie的只读属性是安全的。 设置方法如下:      定义 一过滤器方法: public class CookieFilter implements Filter {
百度cookie_近期工作中跨域导致无法写入cookie的坑
weixin_39599097的博客
12-11 263
背景:公司和三方公司有一个对接项目,下文简称A,项目流程是这样的,用户通过A公司sap网站点击去下单,域名仍是A公司的,把我们公司的网站嵌入A公司,就是常见的punchout采购模式,点击我们网站自动登录,原本之前都是正常登录,现在有客户chrome80版本无法实现登录。后面排查到原因是chrome80版本默认SameSite=Lax,即阻止跨域设置cookie,解决办法就是在我们项目中设置coo...
【分享】记一次前端跨域请求后台无法set-cookie经历
瞎带节奏的博客
10-13 1万+
cookie都设不了,接下来还怎么开发?
nginx cookie跨域
05-09
Nginx是一种Web服务器和反向代理服务器,在Web应用程序中使用广泛。Nginx的主要特点是高性能、高并发、低内存占用以及模块化。在Web应用程序的开发中,经常用到cookie技术来存储和传递客户端的状态信息。但是,由于浏览器的特殊限制,cookie不能跨域传递。如果需要在不同的域名之间传递cookie,就需要采用其他的方法。 Nginx提供了一种跨域传递cookie的解决方案,称为Nginx cookie跨域。这种方法基于HTTP头部中的Set-CookieCookie字段来实现跨域传递cookie。具体实现方法如下: 1. 在Nginx的配置文件中,添加以下代码: http { ... upstream myapp { server 127.0.0.1:8080; } server { ... location / { proxy_pass http://myapp; proxy_set_header Cookie $http_cookie; proxy_cookie_path / /; } } } 2. 该配置中,upstream用于定义后端服务器的地址和端口号。server用于定义监听的地址和端口号,location用于定义请求的路径。 3. 在location中,proxy_pass用于转发请求到后端服务器,proxy_set_header用于设置请求头部中的Cookie字段,proxy_cookie_path用于设置Cookie的存储路径。 4. 当浏览器发送请求到Nginx服务器时,Nginx会将请求转发到后端服务器。在转发的过程中,Nginx会将请求头中的Cookie字段传递给后端服务器。后端服务器接收到请求后,将生成一个新的Cookie,并将该Cookie存储在服务器端。然后将该Cookie作为响应头部中的Set-Cookie字段返回给Nginx。 5. 当Nginx收到响应后,会将Set-Cookie字段中的值传递给浏览器。浏览器接收到响应后,会将该Cookie存储在本地。当浏览器再次向Nginx发送请求时,Nginx会将存储在本地的Cookie传递给后端服务器。这样,就实现了Nginx cookie跨域传递的目的。 总结来说,Nginx cookie跨域实现的原理就是在Nginx服务器与后端服务器之间进行数据传递,并将cookie存储在服务器端,浏览器则只存储一份。这种方法可以避免cookie被恶意注入或窃取,提升了网站的安全性。同时,这种方法也可以提高网站的访问效率,减少因cookie传递而造成的性能损耗。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值