遭遇cookie跨域

最新推荐文章于 2023-08-30 14:44:38 发布
最新推荐文章于 2023-08-30 14:44:38 发布
阅读量781 收藏
点赞数
文章标签: iframe cookies application 浏览器 internet 产品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XDNA/article/details/6307982
版权

在前不久的产品需求中,我们遭遇到一次跨域所带来的难题,起因是需求方要求打通两个部署在不同域下的产品通道,由一个系统直接调用另一个系统已有的功能页来查询并获取满足条件的产品信息。

由于另一个系统使用cookie来保存用户登陆信息,并存在半小时无操作后失效的限制,所以我们在使用iframe引入该系统功能页面的同时,还设置了定时请求的机制来保持连接。但进入IE下测试时,该方案无效,trace跟踪了很久后,发现是因为iframe页面中,cookie没有办法写进去,所以定时请求失效了。在翻阅了IE相关资料后,发现在IE下,因为存在P3P的隐私保护功能,所以frame(iframe)中如果是嵌入其它域的页面时,是无法正常的操作对应域的cookies值的。最简便的处理就是直接在iframe中的功能页面中加入P3P的认证,即允许第三方读取cookie,这样cookie值才能被正确的存取。

一般正常的cookie只会在一个application中共享,即由创建它的application使用。 但有时候我们需要跨应用或域名设置cookies。如果在同一个域名不同的应用中,可以通过cookie.setPath()的方式来实现;如果是跨域名,可以通过cookie.setDomain的方式来实现。 如果是在一个主系统中放入iframe,让iframe引用不同域名的子系统页面,且同时需要操作子系统的cookies时,就需要在子系统对应的页面或登陆代码中设置P3P 的header来兼容IE浏览器(子系统的cookie机制不能是浏览器进程)。

什么是P3P?
P3P是万维网联盟(W3C)公布的一项隐私保护推荐标准,旨在为网上冲浪的Internet用户提供隐私保护。现在有越来越多的网站在消费者访问时,都会收集一些用户信息。制定P3P标准的出发点就是为了减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑。P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如 “本网站将监测您所访问的页面以提高站点的使用率”或“本网站将尽可能为您提供更合适的广告”等申明。访问支持P3P网站的用户有权查看站点隐私报告,然 后决定是否接受cookie或是否使用该网站。

访问官方P3P网页以获取更多技术信息:http://www.w3.org/P3P

 

XDNA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二级域名实现Cookie共享
weixin_45291798的博客
11-16 1359
最新在写项目的时候遇到了一个在a域名设置cookie,b域名要用这个cookie去访问的问题,如何让二级域名共享cookie呢?现在有两个二级域名a.jb.com、b.jb.com,都在一级域名:www.jb.com下。适用于:同一个一级域名(顶级域名)下的二级域名,共享cookie。在a.jb.com域名下的项目里设置cookies
IFrame中的Cookie问题
design1997的专栏
12-21 3791
问题描述: 在一个应用(domain: A)的某个page中, 通过IFrame的方式嵌入另一个应用(domain: B)的某个页面. 当两个应用的domain 不一样时, 在被嵌入的页面中不允许使用cookie(即使用cookie实现的session会失效). 问题分析: 在XP SP2和IE6之后,从安全性角度考虑,默认状态下不允许在iframe里使用跨站点cookie...
iframe跨域访问出现的cookie问题,提供两种解决方案
I_No_dream的博客
07-20 7049
最近在java项目对接时出现的一个问题。A系统嵌入B系统页面时,使用iframe去嵌入B系统页面丢失sessionid,导致B系统认为是未进行登录的请求,从而跳转到了B系统登录页。 解决方法查看此博客:https://www.cnblogs.com/suizhikuo/p/3384972.html 总结原因是因为这种嵌入方法触发了P3P,也就是个人隐私安全平台项目(The Platform forPrivacy Preferences Project)的一个标准,为了保护用户隐私,从而导致A系统嵌入B系统,
chorme浏览器iframecookie跨域共享问题解决方案
DHR的博客
01-06 2137
1.禁用浏览器samsite属性/或降低版本(仅chorme存在) 2.保证同源策略cookie共享(保证ip或域名一直) 3.设置response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”),需设置https证书 4.不使用cookie共享会话,使用token实现 ...
二级域名相同的项目,iframe跨域登录cookies共享问题
qq_40600379的博客
06-07 2310
其中,A项目中,通过iframe嵌套了B项目的域名。此时想要在A项目的iframe访问B项目时,不需要登录(A项目代码登录),登录后,在cookies中设置token,以此让A项目中打开B项目网页时可以免登录。在A项目中登录成功后,A项目调用B项目的接口进行登录,登录后通过在【二级域名】设置token的方式,进行cookies的共享。设置后,在浏览器中,F12,可以看到cookies中,会有Domain为【abc.com】的token值,此时,可以看到程序可以免登录了。(五级域名),B项目的域名为。
java实现后台图片跨域上传功能
08-25
Java 实现后台图片跨域上传功能 Java 实现后台图片跨域上传功能是指在 Java 项目中,使用后台服务器来上传图片,并将其存储在远程的图片服务器中,以解决图片上传的跨域问题。 标题解释:Java 实现后台图片跨域...
showModalDialog跨域解决例子
11-23
通过向新窗口发送消息,然后在新窗口中监听这些消息,实现跨域数据交换。 5. **IFrame嵌套**:虽然`showModalDialog`本身不能跨域,但可以在同源的页面中嵌入一个IFrame,然后在这个IFrame内打开目标跨域页面。这样...
springboot+jsonp解决前端跨域问题小结
10-18
使用JSONP时,前端会定义一个回调函数,并通过请求的URL告诉服务器,服务器将返回的数据放在这个回调函数的调用中返回给前端,前端脚本就可以接收到这个回调函数并执行它,从而实现跨域数据的获取。 具体来说,在...
allow-cors-access-control.crx.zip
04-28
这个插件的作用是允许用户绕过同源策略,实现跨域请求。安装后,它会修改浏览器的安全设置,使得开发者可以轻松地在本地环境或者非同源的环境中进行API调用和其他跨域操作。这对于前端开发、API测试以及学习网络编程...
safari,opera嵌入iframe页面cookie读取问题解决方法
09-05
最近做的合作网站嵌入到对方的iframe中去,在safari,opera和有些版本的搜狗浏览器(内核版本原因)中不能读到cookie
Chrome 80及以上版本 中 Iframe 跨域 Cookie 的 Samesite 问题
xzx66666的博客
10-20 1677
Chrome 80及以上版本 中 Iframe 跨域 Cookie 的 Samesite 问题  新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 一开始以为后端出问题了,后来换火狐、ie edge 都是可以的,并且其他人的Chrome也有可以用的。 并且接口设置cookie时提示:“this set-cookie didnot specify a "same
iframe嵌套第三方页面跨域cookie问题
zhengaog的博客
04-09 2万+
问题描述: 192.168.40.26服务器上有一个项目,某个页面嵌入了第三方系统平台, 第三方系统平台服务器地址是:192.168.40.67 页面嵌入成功,只能访问到登录页,登陆成功但是页面不进行跳转。 如果单独登录第三方平台,如下图: 嵌入第三方后页面 ,如下图: 提示正常登陆成功,却没有跳转页面。页面晃动一下,但还是停留在登陆页面上。 判断是因为跨域问题,嵌入页面时使用192.168.40.26IP地址访问第三方192.168.40.67登录接口时登陆成功,但是前端页面也在这个192.168.
iframe嵌入页面之Cookies存取
热门推荐
song279811799的博客
04-10 2万+
iframe无法读取cookie
iframe内嵌导致的cookie重叠
最爱松露巧克力
09-27 2567
A,B两个服务,在浏览器中登录访问A后,当前打开的浏览器上在开一个选项卡访问B服务后,回过来点击访问A时session丢失,需要重新登录A才可以访问。经过资料查找,发现问题是因为:IP相同认为是同一个域,接收了B的set-cookie指令,把对应的cookie内容覆盖了,其中包括jsessionid,造成A的session丢失。 如果IP不同,则不会发生这个问题。IP相同的两个session...
csrf验证问题 -- 不同域名Iframe嵌套Cookie失效导致csrf验证失败
qq_43539962的博客
10-11 2067
Chrome 51 开始,浏览器Cookie 新增加了一个SameSite属性,主要用于防止CSRF攻击和用户追踪。cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险(防止CSRF)。在Chrome80之前默认None,在Chrome80之后,由于SameSite默认值是Lax。从上图可以看出,SameSite从None改成了Lax后,Form, Iframe, Ajax和Image中跨站的请求受到的影响最大。
深入浅出iframe(+ iframe嵌套第三方页面跨域cookie问题)
最新发布
qq_45859670的博客
08-30 5797
iframe 标签规定一个内联框架。内联框架就是在一个页面中嵌入另一个页面。由于 iframe 可能在某些方面不符合标准网页设计的理念,已经被HTMLl5抛弃,目前的HTML5不再支持它了。
跨域在嵌入页面iframe中设置cookie
weixin_30305735的博客
04-15 1903
在IIS HTTP响应头 中 添加: 名称:p3p 值:CP="IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA" 转载于:https://www.cnblogs.com/yuxiao829/p/4428734.html
iframe跨域设置cookie
nishiweiyj的博客
09-29 2797
<?php header("Set-Cookie: test=xxx;Secure;SameSite=None"); ?>
java cookie 跨域共享_实现跨域cookie共享(转载)
05-25
在Web开发中,Cookie是常用的一种状态管理方式,它可以在客户端浏览器和服务器之间传递信息,并且具有跨域的能力。但是在跨域场景下,不同域名之间的Cookie是不能共享的。本文将介绍如何通过Java实现跨域Cookie共享的方法。 一、什么是跨域Cookie共享 在同源策略下,浏览器只允许当前域名下的页面访问该域名下的Cookie,而不允许其他域名的页面访问该域名下的Cookie。这就是所谓的Cookie跨域问题。 但是在实际开发中,我们经常需要在不同域名之间共享Cookie。例如,在OA系统中,用户登录后可能会跳转到其他子系统中,此时需要保持用户登录状态,就需要在不同域名之间共享Cookie。这就是所谓的跨域Cookie共享。 二、实现跨域Cookie共享的方法 在Java中,实现跨域Cookie共享的方法有两种: 1、使用第三方Cookie共享方案,例如:CAS、OAuth等。 2、手动实现Cookie共享,即在跨域场景下手动设置Cookie。 下面将介绍手动实现Cookie共享的方法。 三、手动实现Cookie共享 手动实现Cookie共享的原理很简单:在A域名下设置Cookie时,同时在B域名下也设置一个相同名称的Cookie。这样,在B域名下访问时就可以获取到A域名下的Cookie信息了。 具体实现步骤如下: 1、在A域名下设置Cookie时,同时在B域名下也设置一个相同名称的Cookie。 代码示例: ```java // 在A域名下设置Cookie Cookie cookie = new Cookie("userId", "123456"); cookie.setDomain(".domaina.com"); // 设置Cookie域名为.domaina.com cookie.setPath("/"); // 设置Cookie的路径为根路径 cookie.setMaxAge(60 * 60 * 24 * 7); // 设置Cookie的生命周期为7天 response.addCookie(cookie); // 将Cookie添加到响应中 // 在B域名下设置相同名称的Cookie Cookie cookie = new Cookie("userId", "123456"); cookie.setDomain(".domainb.com"); // 设置Cookie域名为.domainb.com cookie.setPath("/"); // 设置Cookie的路径为根路径 cookie.setMaxAge(60 * 60 * 24 * 7); // 设置Cookie的生命周期为7天 response.addCookie(cookie); // 将Cookie添加到响应中 ``` 2、在B域名下访问时,获取A域名下的Cookie信息。 代码示例: ```java // 获取A域名下的Cookie信息 Cookie[] cookies = request.getCookies(); if (cookies != null) { for (Cookie cookie : cookies) { if (cookie.getName().equals("userId")) { String userId = cookie.getValue(); // TODO: 处理业务逻辑 break; } } } ``` 需要注意的是,在设置Cookie时,域名要以点号开头,例如:.domaina.com。这样设置后,所有以domaina.com结尾的子域名都可以共享该Cookie。 四、总结 本文介绍了如何通过Java实现跨域Cookie共享的方法,即手动实现Cookie共享。在跨域场景下,手动实现Cookie共享可以很好地解决Cookie跨域问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值