跨站、跨域、cookie注入

已于 2024-03-31 12:26:43 修改
阅读量2.2k 收藏 4
点赞数 1
分类专栏: web前端 cookie 文章标签: cookie ajax跨域问题 前端
于 2021-08-07 22:12:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Trifling_/article/details/119491330
版权

简述

之前对cookie相关知识一直零零碎碎,最近工作中遇到些相关问题,于是又整体重新梳理了一面,算是一个总结。主要介绍如何跨域、跨站注入cookie,以及踩过过的一些。

本文所用到的虚拟URL说明

http://dev.proxy.com:3000/  浏览器访问URL

http://dev.fws.proxy.com:3001/ 跨域接口URL

http://dev.other.com:3001/  跨站接口URL

概念

跨站(cross-site):两个 URL 的 eTLD+1 相同即可,忽略协议、端口(不满足即跨站)

跨域(cross-origin):两个 URL 的协议/主机名/端口一致(不满足即跨域)

跨站一定跨域,跨域不一定跨站

set-cookie 相关api:Set-Cookie - HTTP | MDN

Domain: 只能设置当前域、主域

1、默认当前完整域前面不会加点,完全匹配

2、手动设置时前面加不加点浏览器都会解析为加点,即domain域、子域都携带

eg: 访问http://dev.fws.proxy.com ,domain = proxy.com 或者 dev.fws.proxy.com

Path:请求必须包含path,才会携带本次注入的cookie

SameSite: 默认Lax 

1、设置None必须存在Secure 

2、跨站注入cookie 则必须设置None

跨站注入cookie

1、需是https 协议

2、set-cookie:_token=xxxxxx;domain=other.com;path=/;SameSite=None:Secure 

3、服务端进行相关跨域配置

  res.header("Access-Control-Allow-Origin", "http://dev.proxy.com:3000");

  res.header("Access-Control-Allow-Headers", "X-Requested-With");

  res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");

  res.header("Access-Control-Allow-Credentials", true)

  注意:Access-Control-Allow-Origin 必须指定具体域,不能设置 *

             Access-Control-Allow-Credentials 必须 true

4、web访问 withCredentials:true

跨域注入cookie

1、http、https协议均可

2、set-cookie:_token=xxxxxx;domain=.proxy.com;path=/

3、服务端跨域设置同上

4、web访问 withCredentials:true 否则无法注入cookie

小节:

1、跨域访问 web必须 withCredentials:true,默认浏览器是不携带cookie

2、服务跨域配置

3、path 必须要手动指定

cookie查看

1、浏览器开发者工具dev-tool  查看cooke可能未全部枚举(LZ踩过坑),一般是没问题

      通过浏览器URL旁边cookie查看,或者抓包

2、iframe 嵌入的域 dev-tool 查看会作为独立域查看,会加载浏览器中该域所有cookie并遵循跨站规则,第一次请求就会携带所有cookie

其它

1、默认浏览器各窗口同域cookie是共享的,当前浏览器URL访问的域所有cookie都会展示到dev-tool

2、浏览器静态资源请求多个相同请求,浏览器查看时可能会只展示一个(抓包查看),同一个请求服务可根据参数请求cookie决定是否返回cookie

3、不管任何方式的跨站加载(xhr、iframe、link)默认都无法直接注入cookie与携带cookie

4、浏览器配置SameSite: chrome://flags 

Cookie 解决方案(IFrame
专注基础架构领域
05-25 6300
IFrame思路:假设有a.haorooms.com/text.html和b.haorooms.com/text.html两个页面,通过a.haorooms.com/text.html页面去修改b.haorooms.com/text.html页面的本地数据: ① 在a.haorooms.com/text.html页面创建一个iframe,嵌入b.haorooms.com/text.html页面。 ② a.haorooms.com/text.html页面通过postMessage传递指定格式的消息给
asp.net Cookie、虚拟目录等设置方法
10-29
总的来说,正确设置Cookie的`Domain`和`Path`属性对于实现虚拟目录的数据共享至关重要。同时,掌握如何在ASP.NET中创建、更新和清除Cookie的知识,对于开发高效、安全的Web应用具有重要意义。在实际开发中,...
cookie
07-24
应某网友请求,做的一个Cookie的简单演示 请将HTML和PHP文件放入不同的名下测试,然后修改下面Js的调用地址
cookie
醉逍遥neo的博客
01-29 2670
为什么会出现?出于浏览器的同源策略限制,浏览器会拒绝请求。什么情况下出现?不同源就会。同源即:协议、名、端口号都相同。任意一项不同就会。例如 https://127.0.0.1:8000为什么会有需求?项目工程服务化后,不同职责的服务分散在不同的工程中,往往这些工程的名是不同的,但一个需求可能需要对应到多个服务,这时便需要调用不同服务的接口,因此会出现只是浏览器的限制,服务器没有问题
解决问题的6种方案
最新发布
getapi的博客
03-12 1381
开发环境:优先使用代理服务器(如 Vue/React 的 devServer 配置)。生产环境:推荐 CORS 或 Nginx 反向代理。实时通信:使用 WebSocket。遗留系统:JSONP 或 PostMessage。根据具体场景选择最合适的方案,避免过度设计。
名站点共享COOKIE
01-08 4091
p.s. 架构轻盈,效果实现 问题描述:在一个比较复杂的网站环境下。有多个产品向外提供服务。每个产品下都有自己的用户登录界面。现在需要设计一个统一的登录界面。 当用户在这个界面登录后就可以自由的使用各个产品和服务。同时意味着用户用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的 漫游到其他服务里面去。 实际应用:Sohu的Passport将focus.cn,17173.c
跨站点设置 Cookie
weixin_43536737的博客
04-21 3094
网站跨站点实现单点登录的实现前言实现方法(Across-Subdomains)完全(Across-Domains)用户首次单点登录用户跨站访问用户退出登录结语参考资料 前言 网站的用户身份验证往往使用 Cookie 技术。用户在一个网站进行登录以及身份验证的过程一般为: 在登录页面进行登录后,将登录用户的用户名等信息加密后写在本地浏览器中,也就是一个 Cookie,我们把这个 Cookie 叫做票(Ticket)。 需要判断用户是否登录的页面,需要读取相应 Ticket,并从中解密出用户信息,
读写Cookie
weixin_30376509的博客
12-01 556
原文链接 Cookie作用 Cookie 在二级名下是可以共享的,如www.a.com 和m.a.com 他们的Cookie 是可以共享的,这也是很多单点登录利用Cookie实现的原理,但是很多站点不是二级名的如www.taobao.com和www.tmall.com,它们是完成两个不同的名,那么完全不同的名可以共享Cookie吗?答案是可以的,我们看一下实现...
Cookie共享的实现与安全考虑
介绍Cookie共享 ### 1.1 资源共享(CORS)的基本概念 资源共享(Cross-Origin Resource Sharing,CORS)是一种机制,它使用额外的 HTTP 头来告诉浏览器是否允许一个Web应用在一个给定的源(、协议...
二级名或共享Cookies的实现方法
09-06
当涉及到二级名或共享时,这意味着一个网站的Cookie需要在它的子名或者完全不同的下也能被访问。 **实现步骤** 1. **设置`Domain`属性**:这是实现共享的关键。在创建或更新Cookie时,需要设置`...
asp cookie注入读取通用代码
12-24
2. **安全性**:使用Cookie来保持登录状态可能会带来安全风险,如CSRF(跨站请求伪造)攻击。因此,应确保Cookie值的安全性,如使用加密算法对敏感信息进行编码,并考虑配合其他的防护措施。 3. **问题**:...
访问解决方案,关于访问cookie的资料
08-22
访问解决方案,关于访问cookie的资料
设置名的Cookie
06-20
所有的网站开发者都会非常喜欢cookie的强大特性和易用性,它在跟踪用户信息,建设人性化、个性化的网站方面,有着强大的作用,而且,又避免了使用数据库的昂贵开销。但是,cookie却不能传递,只有那些创建它的才能访问;这里,我们讨论如何利用ASP突破这个限制。
访问 - cookies
weixin_33877092的博客
06-27 134
2019独角兽企业重金招聘Python工程师标准>>> ...
发送 cookie
y果子
07-29 968
Web项目前后端分离开发时,经常会遇到请求和携带Cookie的相关问题: 需要解决前端pc跟服务端(java),后都能获取到同一个cookie。 使用二级名共享cookie有一个限制条件,就是两个名的二级名必须相同 前端pc访问名:a.b.com 后端接口名:a-gateway.b.com 这两个名同属一个二级名:b.com 访问 服务器nginx增加以下配置,即可解决访问的问题。也可以在程序中通过代码解决访问。 nginx配置文件 location / {
网络安全学习笔记——盗取Cookies跨站脚本(XSS)
just do it
07-24 2346
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
面试官问:请求如何携带cookie?
u012384510的博客
03-07 3145
大家好,我是若‍川。持续组织了6个月源码共读活动,感兴趣的可以点此加我微信 ruochuan12参与,每周大家一起学习200行左右的源码,共同进步。同时极力推荐订阅我写的《学习源码整体架...
cookie2
泷泷养的乔小胖
12-10 265
cookie2 1、Access-Control-Allow-Origin:具体URL (1)Access-Control-Allow-Origin设置具体的URL,只能解决设置的具体URL问题,不解决带Cookie的所有URL请求 设置具体URL CrossFilter代码: @Override     public void doFilter(Servl...
cookie
feng
07-12 559
站点通常采用cookie来保持用户的登陆状态。当涉及访问保持登陆状态时,浏览器处于安全考虑默认是不会携带cookie,也不会写入响应头里的cookie到本地。这时需要前后端配合来解决:服务器端:header("Access-Control-Allow-Origin: http://192.168.23.144:8080"); //允许的 header("Access-Contro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值