跨子域的Cookie的清除问题

最新推荐文章于 2024-07-06 11:05:03 发布
最新推荐文章于 2024-07-06 11:05:03 发布
阅读量5.1k 收藏 2
点赞数
文章标签: token domain asp.net sso service object

我两个子域名,用Cookie实现了单点登录,这个简单,很快就实现了。
可是传上去才发觉,无法登出了,Cookie清除不了。
在网上看到台湾人写的这篇文章,总算解决。

 

 

鬼打牆事件之『ASP.NET 無法刪除 Cookie 的問題』

先將我的執行環境說明一下:

  • 我有兩個網站,網域分別為 www1.domain.com 與 www2.domain.com
  • 自己實做單一簽入(Single Sign On, SSO)的機制,並透過 Web Service 進行網站會員登入、登出
  • 兩個網站共用同一組 Cookie 用以儲存 SSO 的 Token,且明訂 Cookie 的 Domain 為 .domain.com

我今天聚焦在「登出」這個簡單的功能就好,實作登出是在簡單不過的機制了,就是把 Cookie 清除掉就好啦!不過要是跟我一樣遇到 ASP.NET 怎樣也清除不掉 Cookie 的情況,那就真的是「鬼打牆」了,而且若要問人家:「請問 Cookie 要怎麼樣才能刪除掉?」這種問題問別人真的會被笑,也不知道怎麼開口。

因為我要共用 Cookie 在兩個網域,所以我的 Cookie Domain 是 .domain.com,所以照理說清除 Cookie 的方法應該是:

 

Response.Cookies["Token"].Expires = DateTime.Now.AddYears(-1);

或者是

 

Response.Cookies["Token"].Expires = DateTime.Now.AddYears(-1);
Response.Cookies["Token"].Domain = ".domain.com";

或者是

 

Response.Cookies["Token"].HttpOnly = true;
Response.Cookies["Token"].Expires = DateTime.Now.AddYears(-1);
Response.Cookies["Token"].Domain = ".domain.com";

反正能試的都試了,而且以我對 HTTP 底層協定的了解,幾乎在 Web 領域沒有什麼問題是無法解決的,但今天遇到 Cookie 清不掉這個問題,真的讓我滿面愁容,程式越寫越氣,用 Fiddler2 看 HTTP 封包看了幾十遍,就是看不出有任何問題,但 Cookie 就是殺不掉。

但是這問題非得要研究出來不可,就因為這個「無法登出」的「小問題」搞了我快 5 個小時才弄清楚所有來龍去脈,所幸問題有被我追根究柢的解決了,以下是要解決此問題的完整解法:

  • 若要清除跨 Domain 的 Cookie 必須清除兩次,例如說使用者在 www1.domain.com 要執行登出動作,必須要先將 Domain 為 www1.domain.com 的 Cookie 給清除掉,在接著將 Domain 為 .domain.com 的這個 Cookie 清除掉。
  • 因為這兩個 Cookie 為「同名」,全部都叫做 Token,所以無法在一個 HTTP Request 中清除掉兩個同名的 Cookie,所以必須要在不同的兩個 HTTP Request 中個別刪除不同 Domain 的 Cookie。

例如說:你必須先連到 Logout.aspx 頁面,在此頁面先將第一組 Cookie 清除:

 

HttpCookie cookie = new HttpCookie("Token", "");

cookie.HttpOnly = true;
cookie.Expires = DateTime.Now.AddYears(-1);
cookie.Domain = Request.Url.Host;
Response.SetCookie(cookie);

Response.Redirect("Logout2.aspx", true);

然後再轉址到 Logout2.aspx 將 Parent Domain 的 Cookie 給清除掉:

 

HttpCookie cookie = new HttpCookie("Token", "");

cookie.HttpOnly = true;
cookie.Expires = DateTime.Now.AddYears(-1);
cookie.Domain = ".domain.com";
Response.SetCookie(cookie);

Response.Redirect("index.aspx", true);

這樣就可以徹底將 Cookie 給清乾淨了,這真是難得的經驗,從沒想到有這種解法,不知道網路上有沒有其他人遇過跟我同樣的問題?

而我的登出程式最後是改成以下這段 Code,濃縮再一支程式裡:

 

protected void Page_Init(object sender, EventArgs e)
{
    Response.Cache.SetCacheability(HttpCacheability.NoCache);

    HttpCookie cookie = new HttpCookie("Token", "");

    cookie.HttpOnly = true;
    cookie.Expires = DateTime.Now.AddYears(-1);

    if (Request.QueryString["domain"] == null)
    {
        cookie.Domain = Request.Url.Host;
        Response.SetCookie(cookie);
        Response.Redirect("Logout.aspx?domain=1", true);
    }
    else
    {
        cookie.Domain = ".domain.com";
        Response.SetCookie(cookie);
        Response.Redirect("index.aspx", true);
    }
}

civilman
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
axios 解决cookie问题
weixin_42319195的博客
01-25 1650
1.问题背景: 前端使用vue,axios 调用服务端api, 前端域名:aaa.bb.u.cn 后端域名:server.ss.u.cn 发现后端写完session,cookie后,浏览器获取不到session,查看浏览器也没有cookie,此时已经确保后端的session和cookie是种成功的 并且,再服务端的配置中,已经设置了域支持,如下: location ~ /*.php$ { add...
Cookie问题的解决
七年蝉
06-26 3071
文章目录问题描述分析原因解决方案 问题描述 前后端完全分离的项目,前端使用Vue + axios,后端使用SpringBoot。 使用CORS协议解决域访问数据限制的问题,但是发现客户端的Axios请求不会自动带上服务器返回的Cookie:JSESSIONID。 导致每一个Axios请求在服务端看来都是一个新的请求,都会在服务端创建新的Session(在响应消息头中设置Set-Cookie:JS...
清除指定域名下的cookie
ghjhhkj的博客
10-12 3568
constexp=newDate(); exp.setTime(exp.getTime()-1); document.cookie=`QIYE_SESSION=${Cookies.get('QIYE_SESSION')};domain=abc.com;expires=${exp.toGMTString()}`; cookie name为QIYE_SESSION 清除的域名...
服务端和前端域处理(cookie处理)
一路向前ylc
08-22 3056
什么是域呢? 域:指的是A网址在浏览器上不能调用B网站的接口。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 例如:a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动都是域的,而浏览器为了安全问题一般都限制了域访问,也就是不允许域请求资源。注意:域限制访问,其实是浏览器的限制。理解这一点很重要!!! 同源策略:是指...
cookie问题(修改或者删除)
不积跬步,无以至千里
11-27 1649
cookie问题(删除或者修改) cookie域时修改不成功,需要在删除(或者修改时)设置domain值与存入的domain一致,域修改cookie不会成功。 例如 login.abc.com(login工程)和www.abc.com(abc工程)是同主域名,www.abc.com/login.html调用login工程的登陆接口(login工程需要把cookiedomain属性设置为abc.com), 此时www.abc.com/logout.html退出登陆(清除cookie),需要在
C# ASP.net Cookies的删除
weixin_34293911的博客
04-15 212
若要清除 DomainCookie 必須清除兩次,例如說使用者在 www1.domain.com 要執行登出動作,必須要先將 Domain 為 www1.domain.com 的 Cookie清除掉,在接著將 Domain 為 .domain.com 的這個 Cookie 清除掉。 因為這兩個 Cookie 為「同名」,全部都叫做 account,所以無法在...
cookie域删除存放
..7a.
12-26 1168
// cookie 2.0 F7 Editor function setCookie(name, value, expires, path, domain){ //name cookie的名称 //value cookie的值 //expires cookie存活的时间[可选项:无值代表页面关闭生命到期],以毫秒为单位 支持 ’1000′ 1000 100*1000 三种格式(计算
javascript与cookie问题详解
10-26
这意味着如果你在不同的子域名下设置了相同键的Cookie,JavaScript在读取时可能会遇到混淆,因为你无法区分哪个值对应哪个特定的域。 例如,`localhost.dev.xxx.com`、`dev.xxx.com`和`xxx.com`可以并存具有相同键...
asp.net cookie清除的代码
10-30
如果其他域或子域设置了CookieASP.NET无法直接删除它们,因为域安全限制不允许这样做。 此外,如果你只需要删除特定的Cookie,可以在步骤11处直接跳过对其他Cookie的处理,只针对你需要删除的那个Cookie进行...
safari,opera嵌入iframe页面cookie读取问题解决方法
09-05
3. **使用`document.domain`设置相同域名**:如果父页面和iframe都属于同一顶级域名的不同子域,可以通过设置`document.domain`属性来消除同源限制。例如,`parent.example.com`和`child.example.com`可以都设置`...
asp.net Cookie域、虚拟目录等设置方法
10-29
总的来说,正确设置Cookie的`Domain`和`Path`属性对于实现域和虚拟目录的数据共享至关重要。同时,掌握如何在ASP.NET中创建、更新和清除Cookie的知识,对于开发高效、安全的Web应用具有重要意义。在实际开发中,...
如何在servlet 中 删除 cookie
05-24
同样,如果你的应用在一个子域下设置了Cookie,那么删除时也要考虑到对应的域设置。 总结来说,删除Cookie是通过创建一个具有相同名称但过期时间设置为零的新Cookie,然后将其添加到响应中来实现的。对于删除所有...
Cookie同域,域单点登录
diehe5608的博客
07-10 698
Cookie 同域单点登录 最近在做一个单点登录的系统整合项目,之前我们使用控件实现单点登录(以后可以介绍一下)。但现在为了满足客户需求,在不使用控件情况下实现单点登录,先来介绍一下单点登录。 单点登录:多个不同系统整合到统一加载个平台,用户在任何一个系统登录后,可以访问这个统一加载上的所有系统。登录之后,用户的权限和信息不再受某个系统的限制,即使某个系统出现故障(包括...
总结一下顶级域名和子级域名之间的cookie共享和相互修改、删除
weixin_33756418的博客
09-18 1656
最近项目中刚好涉及到了主域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,这里代码以PHP为例来说明,域名的话就拿顶级域名和二级域名为例,其他的场景都是类似哈! 设置COOKIE 顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成。 如yangbai.c...
顶级域名和二级域名共享cookie及相互删除cookie
热门推荐
yx017893的专栏
11-23 2万+
在CSDN看到一个cookie设置domain时,如何删除的问题,自己也只知道domain设置为顶级域名时可以被其他二级域名共享,但是如何删除还是有一点搞不清楚,所以特意测试了下cookiedomain之间的关系,下面是一些测试结果的总结 设置cookie   非顶级域名,如二级域名或者三级域名,设置的cookiedomain只能为顶级域名或者二级域名或者三级域名本身,不能设置其他二级
域丢失cookie问题
stalary的博客
01-31 8319
2018年的第一篇博客,新的开始,新的起点 前几天在写一个利用cookie存储token的登陆demo时遇到了域丢失token问题,在这里分享一下解决的方法。 案例分析 前端使用了vue-reource的$http进行请求后台接口 this.$http({ url: "http://120.24.5.178:8100/user/login",
C# 清除Cookies
diaoxiurao2593的博客
05-14 282
HttpCookie aCookie = HttpContext.Current.Request.Cookies[cookieName]; if (aCookie != null) { aCookie.Expires = DateTime.Now.AddDays(-300); a...
ASP.NET Web应用中的 Razor Pages/MVC/Web API/Blazor
最新发布
学以致用 知行合一
07-06 1146
大多数服务器端语言都采用广泛使用的模型-视图-控制设计。它由三个主要组件组成:控制器、模型和视图。控制器负责输入并与模型和视图交互。视图负责用户界面,模型代表业务逻辑和数据。虽然 MVC 模型适用于 API 开发,但 Razor Pages 专注于页面而不是 API。如果您打算使用 Angular 或 React 等前端框架,那么 MVC 将是一个合适的选择。Razor Pages 是允许轻松加载数据的网页,类似于 HTML 页面。它们与 ASP.NET MVC 的视图组件非常相似,具有相同的语法和功能。
nginx cookie
09-06
Nginx是一款开源的高性能Web服务器,可以通过反向代理和负载均衡等功能来提高网站的性能和安全性。 cookie是一种攻击方式,也称为XSS攻击(Cross-Site Scripting),攻击者通过在被攻击网站注入恶意的脚本代码,使被攻击用户的浏览器执行这些脚本,从而窃取用户的敏感信息,如Cookie。 Nginx可以通过一些配置来增加对cookie的保护: 1. 设置HttpOnly属性:通过将Cookie的HttpOnly属性设置为true,可以防止JavaScript脚本获取到Cookie信息,从而减少XSS攻击的可能性。 2. 使用安全的Cookie:通过设置Cookie的Secure属性为true,可以限制Cookie只能通过HTTPS连接进行传输,从而防止在非加密的HTTP连接中被窃取。 3. 使用子域限制Cookie的作用范围:可以通过将CookieDomain属性设置为子域名,使得Cookie只在指定的子域名下有效,从而减少站点攻击的风险。 4. 启用Content Security Policy(CSP):Nginx可以通过设置响应头中的Content-Security-Policy字段来启用CSP。CSP可以限制浏览器只执行指定来源的脚本,从而减少XSS攻击的成功率。 总结来说,通过Nginx的配置,我们可以增加对cookie攻击的防护,提高网站的安全性。但是需要注意的是,Nginx仅提供一些基本的保护策略,对于更复杂的攻击仍然需要综合其他安全措施来进行防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值