简述
之前对cookie相关知识一直零零碎碎,最近工作中遇到些相关问题,于是又整体重新梳理了一面,算是一个总结。主要介绍如何跨域、跨站注入cookie,以及踩过过的一些。
本文所用到的虚拟URL说明
http://dev.proxy.com:3000/ 浏览器访问URL
http://dev.fws.proxy.com:3001/ 跨域接口URL
http://dev.other.com:3001/ 跨站接口URL
概念
跨站(cross-site):两个 URL 的 eTLD+1 相同即可,忽略协议、端口(不满足即跨站)
跨域(cross-origin):两个 URL 的协议/主机名/端口一致(不满足即跨域)
跨站一定跨域,跨域不一定跨站
set-cookie 相关api:Set-Cookie - HTTP | MDN
Domain: 只能设置当前域、主域
1、默认当前完整域前面不会加点,完全匹配
2、手动设置时前面加不加点浏览器都会解析为加点,即domain域、子域都携带
eg: 访问http://dev.fws.proxy.com ,domain = proxy.com 或者 dev.fws.proxy.com
Path:请求必须包含path,才会携带本次注入的cookie
SameSite: 默认Lax
1、设置None必须存在Secure
2、跨站注入cookie 则必须设置None
跨站注入cookie
1、需是https 协议
2、set-cookie:_token=xxxxxx;domain=other.com;path=/;SameSite=None:Secure
3、服务端进行相关跨域配置
res.header("Access-Control-Allow-Origin", "http://dev.proxy.com:3000");
res.header("Access-Control-Allow-Headers", "X-Requested-With");
res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");
res.header("Access-Control-Allow-Credentials", true)
注意:Access-Control-Allow-Origin 必须指定具体域,不能设置 *
Access-Control-Allow-Credentials 必须 true
4、web访问 withCredentials:true
跨域注入cookie
1、http、https协议均可
2、set-cookie:_token=xxxxxx;domain=.proxy.com;path=/
3、服务端跨域设置同上
4、web访问 withCredentials:true 否则无法注入cookie
小节:
1、跨域访问 web必须 withCredentials:true,默认浏览器是不携带cookie
2、服务跨域配置
3、path 必须要手动指定
cookie查看
1、浏览器开发者工具dev-tool 查看cooke可能未全部枚举(LZ踩过坑),一般是没问题
通过浏览器URL旁边cookie查看,或者抓包
2、iframe 嵌入的域 dev-tool 查看会作为独立域查看,会加载浏览器中该域所有cookie并遵循跨站规则,第一次请求就会携带所有cookie
其它
1、默认浏览器各窗口同域cookie是共享的,当前浏览器URL访问的域所有cookie都会展示到dev-tool
2、浏览器静态资源请求多个相同请求,浏览器查看时可能会只展示一个(抓包查看),同一个请求服务可根据参数请求cookie决定是否返回cookie
3、不管任何方式的跨站加载(xhr、iframe、link)默认都无法直接注入cookie与携带cookie
4、浏览器配置SameSite: chrome://flags