IIS配置多域名跨域,和跨域session保持

已于 2024-01-12 10:46:00 修改
阅读量794 收藏 8
点赞数 9
文章标签: iis 跨域
于 2023-12-14 21:40:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigcarp/article/details/135004990
版权

搜索一大堆折腾了一轮,都是屁! 

IIS配置跨域问题终极解决方案--> 原来微软官方发布过专门的 IIS CORS模块,文件大小不到1M。

下载地址:https://www.iis.net/downloads/microsoft/iis-cors-module

官方参考手册:

https://learn.microsoft.com/zh-cn/iis/extensions/cors-module/cors-module-configuration-reference

若要解决session(cookie)问题,还要安装微软官方的URL Rewrite模块。(安装完要关闭IIS管理器,再重新打开管理器才见到-->关闭管理器操作界面,不是在管理器上停止站点。)

下载地址:https://www.iis.net/downloads/microsoft/url-rewrite

允许跨域访问:

<system.webServer>
	<cors enabled="true">
		<add origin="http://127.0.0.1:86"
			 allowCredentials="true"
			 maxAge="120"> 
			<allowHeaders allowAllRequestedHeaders="true" />
		</add>
		
		<add origin="https://www.mysite.com"
			 allowCredentials="true"
			 maxAge="120"> 
			<allowHeaders allowAllRequestedHeaders="true" />
		</add>
	</cors>
</system.webServer>

允许session、cookie:

   <system.webServer>
		<rewrite>
			<outboundRules>
			  <clear />
			  <rule name="Add SameSite" preCondition="No SameSite">
				<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
				<action type="Rewrite" value="{R:0}; SameSite=None; Secure" />
			  </rule>
			  <preConditions>
				<preCondition name="No SameSite">
				  <add input="{RESPONSE_Set_Cookie}" pattern="." />
				  <add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=None; Secure" negate="true" />
				</preCondition>
			  </preConditions>
			</outboundRules>
		  </rewrite>
    </system.webServer>

设置HttpOnly=false  (加上<system.web><httpCookies httpOnlyCookies="false" requireSSL="true" /></system.web>)

   <system.webServer>
		<rewrite>
			<outboundRules>
			  <clear />
			  <rule name="Add SameSite" preCondition="No SameSite">
				<match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
				<action type="Rewrite" value="{R:0}; SameSite=None; Secure" />
			  </rule>
			  <preConditions>
				<preCondition name="No SameSite">
				  <add input="{RESPONSE_Set_Cookie}" pattern="." />
				  <add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=None; Secure" negate="true" />
				</preCondition>
			  </preConditions>
			</outboundRules>
		  </rewrite>
    </system.webServer>

    <system.web> <!--如果 rewrite 设置了HttpOnly=false应该就可以,但我不知道为什么我通过rewrite 没有搞定http only,可能是我写法有问题-->
      <httpCookies httpOnlyCookies="false" requireSSL="true" />
    </system.web>

关于跨域sessionid每次都变,折腾了很久,才搞明白原来是浏览器把cookie拦住、移除了,request headers里面cookie无法发送到服务器端。 (关于samesite属性,参考:https://blog.csdn.net/weixin_38289101/article/details/127977426

另外,django可以对session的cookie是否允许跨域进行设置的(设置后可以不用iis rewrite?)


SESSION_COOKIE_NAME = "sessionid"           # Session的cookie保存在浏览器上时的key,即:sessionid=随机字符串(默认)
SESSION_COOKIE_PATH = "/"                   # Session的cookie保存的路径(默认)
SESSION_COOKIE_DOMAIN = None                 # Session的cookie保存的域名(默认)
SESSION_COOKIE_SECURE = False                # 是否Https传输cookie(默认)
SESSION_COOKIE_HTTPONLY = True               # 是否Session的cookie只支持http传输(默认)
SESSION_COOKIE_AGE = 1209600                 # Session的cookie失效日期(2周)(默认)
SESSION_EXPIRE_AT_BROWSER_CLOSE = False      # 是否关闭浏览器使得Session过期(默认)
SESSION_SAVE_EVERY_REQUEST = False           # 是否每次请求都保存Session,默认修改之后才保存(默认)




另session引擎设置:
----------
1. 数据库Session
SESSION_ENGINE = 'django.contrib.sessions.backends.db'   # 引擎(默认)

2. 缓存Session
SESSION_ENGINE = 'django.contrib.sessions.backends.cache'  # 引擎
SESSION_CACHE_ALIAS = 'default'                            # 使用的缓存别名(默认内存缓存,也可以是memcache),此处别名依赖缓存的设置

3. 文件Session
SESSION_ENGINE = 'django.contrib.sessions.backends.file'    # 引擎
SESSION_FILE_PATH = None                                    # 缓存文件路径,如果为None,则使用tempfile模块获取一个临时地址tempfile.gettempdir() 

4. 缓存+数据库
SESSION_ENGINE = 'django.contrib.sessions.backends.cached_db'        # 引擎

5. 加密Cookie Session
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'   # 引擎
————————————————

# 关键设置项:
SESSION_COOKIE_HTTPONLY = False
SESSION_COOKIE_SAMESITE = 'None'
SESSION_COOKIE_SECURE = True

---------------------------------

经历跟这个差不多https://blog.csdn.net/weixin_53281846/article/details/130464078

搜索了一轮,自己实践发现iis中填多条Access-Control-Allow-Origin记录、逗号分隔、正则表达式这些是不行的。另外好像无论Ngxin还是Tomcat等都要rewrite之类的方法。由于仅仅是测试,所以暂时用*通配符算了。记录一下参考,要的时候再研究

CORS Enabled - W3C Wiki

在 Web.config 中,配置允许多个指定的域名进行跨域访问 - 简书 (jianshu.com)

asp.net - Access-control-allow-origin with multiple domains - Stack Overflow

Cors跨域(三):Access-Control-Allow-Origin多域名?_access-control-allow-origin 多个域名-CSDN博客

bigcarp
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈Ajax跨域Session跨域访问
10-25
主要介绍了Ajax跨域Session跨域访问的相关问题,以及需要注意的地方,这里推荐给大家
Yii2实现多域名跨域同步登录退出
01-20
在平台开发过程中,项目分为前台(frontend)www.xxx.com和后台(backend) yun.xxx.com两部分,绑定两个域名, 我们知道在没有绑定域名的时候前后台可以同步登录和退出,但是绑定域名后就失效了,原因是session的作用域不同了。 两个域名session作用域都只限制在了自己的域名上,我们的解决办法是将不同二级域名的作用域都改成顶级域名xxx.com。 在common/config/main.PHP里面增加如下代码: //跨域session域名配置,获取当前主机名 $host_array = explode('.', $_SERVER[HTTP_HOST]
iframe跨域session失效问题的解决办法
10-26
主要介绍了iframe跨域session失效问题的解决办法,有需要的朋友可以参考一下
关于Iframe如何跨域访问Cookie和Session的解决方法
01-20
最近做登录系统的整合,其中遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台,这个系统是第三方提供的一个加过密的系统,后台自动登录接口是自己分析出来的,没有单独提供,当从统一后台通过自动登录接口登录时,系统直接跳转到系统后台首页,后台登录成功后所跳转的URL这里没法指定,控制不了跳转的页面,如果在统一后台里需要链接到这个系统后台的另外一个页面,而非后台默认首页时,也就是将第三方系统后台的菜单功能放到我们这个统一后台里。 对于这样的一个需要,这里会遇到一个问题,为了能正常访问第三方系统的后台栏目,必需确保已经登录该系统,否则会提示用户登录,所以在点击这些菜单链接时,系统
IIS下设置跨域访问问题--Access-Control-Allow-Origin 站点跨域请求的问题
weixin_30456039的博客
05-05 527
背景: 最近 开发中遇到新需求,把公司的OA系统迁移一套到小程序上面去 有些功能的信息是在小程序 查看 但是文件是在pc端上传的 例如:领导在外出办公 使用小程序查看xxxx.pdf文件 这个时候就遇到问题了, pc端的部署和小程序的部署不是在同一台服务器上。 在pc端上传文件想要小程序看的话 心中立刻有了方案 直接访问pc端文件地址 打开文件就ok了, 但是 凡事都不是想当然的。...
IIS设置允许跨域请求
weixin_44763654的博客
04-23 1118
原文链接:https://blog.csdn.net/shylonegirl/article/details/121738110。版权声明:本文为CSDN博主「小龙狗」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
IIS 跨域设置
qq_42200700的博客
10-13 649
IIS启用URL 重写规则
IIS 跨域配置
MZ_的博客
08-13 5180
1、打开IIS管理器,在中间部分找到HTTP响应标头,如下图。 2、添加如下图所示的三个响应标头。 具体值如下(第一列是名称,第二列是值): Access-Control-Allow-Headers Content-Type, api_key, Authorization, X-Requested-With Access-Control-Allow-Ori...
IIS配置跨域请求
weixin_30535913的博客
05-22 330
1.通过IIS配置 2.通过Web.config配置 <system.webServer> <!--跨域请求,允许前端调试--> <httpProtocol> <customHeaders> <add name="Access-Control-Allow-Headers"...
IIS服务器允许跨域配置
weixin_34186950的博客
11-05 2792
<configuration> <system.webServer> <httpProtocol> <customHeaders> <add name="Access-Control-Allow-Origin" value="*" /> <add name="Access-Control-Allow-Methods" ...
ThinkPHP框架实现session跨域问题的解决方法
10-25
主要介绍了ThinkPHP框架实现session跨域问题的解决方法,需要的朋友可以参考下
跨域请求 笔记(二)设置Access-Control-Allow-Origin允许多域名访问
dev_hui 的博客
08-22 8955
对于前后端分离的项目难免会遇到跨域的问题,在设置跨域的问题中有许多需要注意的事情,如本次将要将的设置Access-Control-Allow-Origin使其允许多域名请求。 (1)使用通配符: 这种方式允许所有域名都可以访问,并不安全,而且这种方式浏览器不能携带cookie信息(携带cookie信息只能使用真实域名,如下面第二中方式)。这种方式只推荐在不带cookie信息的开发中...
Cors跨域(三):Access-Control-Allow-Origin域名
架构师:通透,才能写出好代码!
06-21 1万+
响应头设置不合理,公司安全部门会请你喝茶
访问控制允许原始多个域?
asdfgh0077的博客
12-14 434
有没有一种方法可以使用Access-Control-Allow-Origin标头允许多个跨域? 我知道* ,但是它太开放了。 我真的只想允许几个域名。 例如,如下所示: Acces
Access-Control-Allow-Origin如何给CORS设置多域名
最新发布
weixin_57208584的博客
11-06 2904
作为通配符来说,直接变成对所有域名公开,非常的不安全。那如何设置特定的多个域名?Vary:<header1> , <header2>... 某些字段进行缓存。因此,响应现支持字段Vary,其可以对报文中某个字段的缓存进行控制。Vary: * 所有字段都不进行缓存。控制哪些域名可以共享资源,取值如下。
IIS跨域配置,支持身份验证,asp.net后端无需修改代码
Mr.Xiao
01-01 710
iis通过配置文件灵活支持跨域请求的方法,同时支持身份验证。
IIS配置支持跨域请求
热门推荐
czckaito的博客
08-14 2万+
网站支持跨域请求,这里介绍一个最基础的方式,配置HTTP响应标头
IIS 配置允许跨域访问
weixin_44763552的博客
08-19 3209
配置文件中 配置如下 即可 <configuration> <system.webServer> <httpProtocol> <customHeaders> <add name="Access-Control-Allow-Origin" value="*" /> <add name="Access-Control-Allow-Methods" value="GET,PUT,POST,DELETE,OPTIONS" /> <ad
iframe如何跨域访问cookie和session的解决方法
09-07
要实现iframe跨域访问cookie和session的解决方法,需要采用以下方式: 1. Cookie解决方法:可以通过设置iframe的src属性为同一域下的页面,然后在iframe页面中通过JavaScript代码获取到cookie信息,再将其传递给目标域的后台服务器进行处理。这样可以绕过浏览器的同源策略限制。 2. Session解决方法:由于session的保存是在服务器端,而不是在浏览器端,所以通过JavaScript代码直接获取session是不可行的。但可以通过在iframe中设置代理页面,代理页面位于同一域中,然后在代理页面中通过服务器端脚本进行访问目标域的session。代理页面的作用就是在服务器端进行请求和响应,将结果返回给iframe。 综上所述,跨域访问cookie和session的解决方法主要是通过设置代理页面或者通过JavaScript代码进行传递,以绕过浏览器的同源策略限制。但需要注意的是,跨域访问cookie和session存在安全风险,因此在实际应用中需要进行充分的安全考虑,并采取一些额外的防护措施,以确保用户信息的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值