跨域SESSION的问题

最新推荐文章于 2022-03-01 11:17:48 发布
最新推荐文章于 2022-03-01 11:17:48 发布
阅读量3.4k 收藏 1
点赞数
文章标签: session iis iframe javascript asp.net 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuizh1983/article/details/5804507
版权

IE不允许跨域访问cookie(好象firefox没问题,ie自6.0以后改用w3c组织的P3P协议了.p3p是微软的隐私策略,通常情况下跨域iframe或者frameset默认采用的隐私策略为“中”,该级别的策略拒绝保留session。CAO PSA OUR则意味着你同意跨域保留session,但是也意味着你的网站不再安全。).

 

在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置: mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把cookieless="false"改成"true"就可以了但也同样有个小问题,就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话,系统会认为这是另一个新的请求,产生一个新的SessionId,导致原Session同样的丢失所以对于重定向,还是使用Response.Redirect()为好

除了Ifrmae有丢Session问题外,frameset也有同样的问题Frameset的问题更不确定,是有时会丢,有时不会丢,这更认人头痛,在网上找到了一个方法,在页面page_onload里添加一语句:
Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了至于里面具体的原因 也没时间去搞懂了


最简单的方法就是在iis里设置

 

解决办法

response.addHeader("P3P","CP=CAO PSA OUR")。

不过难道我们需要在每个页面都加这个么?

不需要的

如果有权配置IIS服务器

打开IIS


管理工具——〉选择一个网站——〉属性——〉http头,增加一个http头
然后输入头名:P3P
输入头内容:CP=CAO PSA OUR

如果没有权限配置IIS服务器,但是你用的是asp.net的话

可以用httpmodual来实现在全部页面或者部分页面头部插入所需要的标志

 

其中CP=“XXX XXXX”这些是有具体含义的:
     CP就是compact policies的意思,
    另外header的值也可以是policyref="http://myhost/P3P/PolicyReferences.xml",就是指定一个策略文件。

具体请看这里.

下面是摘抄的一段Compact Policies的具体取值范围和设值含义。
 Compact Policies
Compact policies are essentially summaries of P3P policies. They can be used by user agents to quickly get approximate information about P3P policies, therefore improving performance.

For an in-depth explanation of compact policies, we refer to the P3P1.0[4] specification. Here, we limit to stating the syntax:

compact-policy-field  = `CP="` compact-policy `"`

compact-policy        = compact-token *(" " compact-token)

compact-token         =  compact-access           |

                                 compact-disputes         | 

                                   compact-remedies         | 

                      compact-non-identifiable |

                       compact-purpose          | 

                         compact-recipient        | 

                       compact-retention        | 

                       compact-categories       |

                        compact-test compact-access        = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"

                        compact-disputes      = "DSP"

                        compact-remedies      = "COR" | "MON" | "LAW"

                        compact-non-identifiable = "NID"

                        compact-purpose       = "CUR"        | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] |

                         "PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] |

                         "CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq]                        

                           creq                  = "a" | "i" | "o"

                        compact-recipient     = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] |

                                                             "PUB" [creq] | "OTR" [creq]

                        compact-retention     = "NOR" | "STP" | "LEG" | "BUS" | "IND"

                        compact-category      = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" | 

                                                            "NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" |

                                                             "HEA" | "PRE" | "LOC" | "GOV" | "OTC"

                        compact-test          = "TST"

cuizh1983
关注
单点登陆之session跨域问题
小小的祈祷的专栏
08-12 760
Session主要分两部分:    一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在,而非存储在服务器的内存中;     另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文
解决springboot实现跨域session共享问题
01-25
本文将详细讲解如何在Spring Boot应用中解决跨域session共享的问题,并探讨防止SQL注入的相关策略。 首先,让我们理解什么是跨域跨域是指由于浏览器的同源策略限制,不同域名、协议或端口之间的页面无法直接通信...
Session跨域共享解决方案
qq_18991813的博客
08-20 2276
一、Session跨域 所谓session跨域就是摒弃了系统(tomcat)提供的session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。如:通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务...
谈谈我的session跨域处理方法
weixin_30832983的博客
05-15 403
情景:公司的一个网站有一个模块(测试模块)需要单独用另外的一个域名(www.xyz.com)去访问,即网站需要用两个不同的域名去访问,如首页(www.abc.com)和测试模块(www.xyz.com) 这时候就涉及到session跨域问题,因为域名不是父子关系,所以必须要实现完全跨域,想到了以下三个解决办法: 1.URL传参:测试模块访问的时候,地址www.xyz.com后把主域名...
PHP session 跨子域问题总结
x7jntb93v9的博客
06-15 261
Session主要分两部分: 一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在 另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 Session
Session跨域
Leon_Jinhai_Sun的博客
12-28 1503
所谓Session跨域就是摒弃了系统(Tomcat)提供的Session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。 如:通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务端进行保存(数据库保存或NoSQL保存)。这种机制就是Session跨域解决。 什么跨域: 客户端请求的时候,请求的服务器,不是同一
vue2 前后端分离项目ajax跨域session问题解决方法
08-30
总结来说,解决Vue2前后端分离项目中的AJAX跨域Session问题,关键在于前端设置axios的`withCredentials`属性,以及后端允许跨域并接受credentials的配置。通过这些设置,前端就能在跨域请求中保持用户登录状态,从而...
ThinkPHP框架实现session跨域问题的解决方法
10-25
ThinkPHP框架实现session跨域问题的解决方法主要涉及到了两个方面:其一,是PHP自身处理session的方式,以及如何在ThinkPHP框架下解决session跨域问题;其二,是根据服务器配置文件的有无,给出不同的解决办法,...
iframe跨域session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
Session跨域共享及SSO解决方案实战
长沙老码农
03-09 5311
目录 1、什么是Session跨域共享 2、什么是SSO 3、Session跨域共享简单实现 3.1 Spring Session 共享 (了解) 3.2 Nginx Session共享 3.3 Token + Redis + Cookie机制 3.4 Spring Security Oauth2 4、开源项目CAS应用 4.1 CAS简介 4.2 下载CAS Server并构建 4.3 CAS Server部署 4.4 CAS客户端项目 4.5 拓展 1、什么是Sessi.
跨域共享session (实现http跳转https 共享session
07-13
NULL 博文链接:https://justcoding.iteye.com/blog/747398
浅谈Ajax跨域Session跨域访问
10-25
主要介绍了Ajax跨域Session跨域访问的相关问题,以及需要注意的地方,这里推荐给大家
处理session跨域几种方案
11-22
class Session { //mysql的主机地址 const db_host = "localhost"; //需要第三方指定ip地址 //数据库用户名 const db_user = "root"; //需要第三方指定自己的用户名 //数据库密码 const db_pwd = ""; //需要第三方指定自己的库据库密码 //数据库 const db_name = "thinkphp"; //需要第三方指定数据库 //数据库表 const db_table = "tbl_session"; //需要第三方指定数据表 //mysql-handle private $db_handle; //session-lifetime private $lifeTime; function open($savePath, $sessName) { // get session-lifetime $this--->lifeTime = get_cfg_var("session.gc_maxlifetime"); // open database-connection $db_handle = @mysql_connect(self::db_host, self::db_user, self::db_pwd); $dbSel = @mysql_select_db(self::db_name, $db_handle); // return success if(!$db_handle || !$dbSel) return false; $this->db_handle = $db_handle; return true; } function close() { $this->gc(ini_get('session.gc_maxlifetime')); // close database-connection return @mysql_close($this->db_handle); } function read($sessID) { // fetch session-data $res = @mysql_query("SELECT session_data AS d FROM ".self::db_table." WHERE session_id = '$sessID' AND session_expires > ".time(), $this->db_handle); // return data or an empty string at failure if($row = @mysql_fetch_assoc($res)) return $row['d']; return ""; } function write($sessID, $sessData) { // new session-expire-time $newExp = time() + $this->lifeTime; // is a session with this id in the database? $res = @mysql_query("SELECT * FROM ".self::db_table." WHERE session_id = '$sessID'", $this->db_handle); // if yes, if(@mysql_num_rows($res)) { // ...update session-data @mysql_query("UPDATE ".self::db_table." SET session_expires = '$newExp', session_data = '$sessData' WHERE session_id = '$sessID'", $this->db_handle); // if something happened, return true if(@mysql_affected_rows($this->db_handle)) return true; } else // if no session-data was found, { // create a new row @mysql_query("INSERT INTO ".self::db_table." ( session_id, session_expires, session_data) VALUES( '$sessID', '$newExp', '$sessData')", $this->db_handle); // if row was created, return true if(@mysql_affected_rows($this->db_handle)) return true; } // an unknown error occured return false; }
跨域&session
sys的博客
09-24 287
说来惭愧,工作三年听过session 听过跨域也知道解决的办法但是却没有去深入思考一下这两个东西 -今天发生一件事情 登录A项目后打开链接去B项目中做操作这种情况下同事提到了使用二级目录解决跨域问题。当时的我想不到这与跨域有什么联系特别说明一点项目中是用的session存储用户信息 **什么是跨域** 比方说你有一个网站我也有一个网站连个网站的信息是不能共用是不,共用了这样岂不是泄露了自己的秘密 所以我们的浏览器中只有域名,协议,端口都相同才能互相访问 他们的信息是可以共享的 为什..
干掉Session?这个跨域认证解决方案真的优雅
沉默王二
03-01 7676
用户登录认证是 Web 应用中非常常见的一个业务,一般的流程是这样的: 客户端向服务器端发送用户名和密码 服务器端验证通过后,在当前会话(session)中保存相关数据,比如说登录时间、登录 IP 等。 服务器端向客户端返回一个 session_id,客户端将其保存在 Cookie 中。 客户端再向服务器端发起请求时,将 session_id 传回给服务器端。 服务器端拿到 session_id 后,对用户的身份进行鉴定。 单机情况下,这种模式是没有任何问题的,但对于前后端分离的 Web 应用来说,就非
两种session跨域问题
Kaaaakaki的博客
07-23 235
226集 * 两种session跨域问题 : * 1、 同一个域名 多台服务器 原来session只存在运行的这一台上 * 如果这个请求去了另一个服务器 就拿不到session了 * 解决: 用一个统一的地方 比如 redis 来存所有服务器session * * 2. 域名不同 相当于 拿着农行的卡(sessionID) 去了 工商银行(服务器) 就拿不到对应的session * 解决:发session的时候 扩大session的作用域 auth.testmall.
解决session跨域共享问题
wangchaoqi1985的博客
08-07 235
解决session跨域共享问题
记一次Session跨域问题
铃萌的博客
03-01 1597
背景:网站域名:aa.abc.com,客户有需求,需要定制专属域名,如:kehu.abc.com。 项目介绍:前后端未分离的项目,登录授权是使用的shiro做的,页面是使用JSP写的。登录成功后,会将获取到的token写入cookie,接口有拦截器处理,shiro是未登录态时,会尝试使用cookie来登录,实现单点登录。 方案:申请专属域名,使用Nginx映射到网站域名上;后台服务也做了处理,如果登录用户判断有专属域名,则直接重定向到专属域名上,否则使用网站域名。逻辑很简单,流程如下,其他跳转页面的接口
session如何跨域
天下熙熙,皆为利来;天下攘攘,皆为利往。
05-28 1309
想要共享 SESSION 数据,那就必须实现两个目标:www.a.com和i.a.com所产生的SESSION ID相同,并且可通过同一个 COOKIE 进行传递,也就是说各个服务器必须可以读取同一个名为 PHPSESSID 的 COOKIE;另一个是 SESSION 数据必须存放在一个各个系统都能访问到的地方。简单地说就是多服务器共享客户端的 SESSION ID,同时还必须共享服务器端的 SE
Vue2前后端分离:AJAX跨域session问题与axios解决方案
通过这些配置,vue2的前后端分离项目中的ajax跨域session问题就可以得到解决,登录状态可以在跨域请求之间共享,提高用户体验。但需要注意的是,不同的后端服务器可能对跨域设置有不同的要求,需要根据实际情况调整...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值