cookie填坑

删除cookie的方法一般都是给他个过期时间就可以了。

有个需求是在退出登录的时候去删除一个cookie，结果却发现怎么也删不掉，仔细检查后发现是因为和当前不在同一个域下。

例如 当前域是 https://saas-test.firstbx.com/，如果直接使用

document.cookie = `LG_TK_SAAS=; expires=${new Date(0).toUTCString()}; path=/`;

不加domain，那么只能删除domain为saas-test.firstbx.com的cookie。 不能删除domain 为.firstbx.com下的cookie。

所以想要删除不同域（如二级删除一级）的，都要指定domain属性。

最简单的话可以使用下面这个去删除，记得指定好domain就可以了。

document.cookie = `LG_TK_SAAS=; expires=${new Date(0).toUTCString()}; domain=.firstbx.com;path=/`;

封装一个方法的话

clearCookie() {            
    var keys = document.cookie.match(/[^ =;]+(?=\=)/g);
    if (keys) {
        for (var i = keys.length; i--;) {
            document.cookie = keys[i] + '=0;path=/;expires=' + new Date(0).toUTCString();//清除当前域名下的,例如：m.kevis.com
            document.cookie = keys[i] + '=0;path=/;domain=' + document.domain + ';expires=' + new Date(0).toUTCString();//清除当前域名下的，例如 .m.kevis.com
            document.cookie = keys[i] + '=0;path=/;domain=kevis.com;expires=' + new Date(0).toUTCString();//清除一级域名下的或指定的，例如 .kevis.com
        }
    }
    alert('已清除');
}

最近chrome浏览器在cookie没有设置SameSite的时候一直报一个warning，看的很烦，也可以使用下面的设置一下SameSite

document.cookie = `LG_TK_SAAS=${result.token}; expires=${date.toUTCString()}; domain=.firstbx.com;path=/;SameSite=None; Secure`;

cookie的其他知识

• 以下可选的cookie属性值可以跟在键值对后，用来具体化对cookie的设定/更新，使用分号以作分隔：
  • ;path=path (例如 '/', '/mydir') 如果没有定义，默认为当前文档位置的路径。
  • ;domain=domain (例如 'example.com'， 'subdomain.example.com') 如果没有定义，默认为当前文档位置的路径的域名部分。与早期规范相反的是，在域名前面加 . 符将会被忽视，因为浏览器也许会拒绝设置这样的cookie。如果指定了一个域，那么子域也包含在内。
  • ;max-age=max-age-in-seconds (例如一年为60*60*24*365)
  • ;expires=date-in-GMTString-format 如果没有定义，cookie会在对话结束时过期
    • 这个值的格式参见Date.toUTCString() 
  • ;secure (cookie只通过https协议传输)
• cookie的值字符串可以用encodeURIComponent()来保证它不包含任何逗号、分号或空格(cookie值中禁止使用这些值).

 

cookie 都是在浏览器本地存储的，如果已有某网站cookie的情况下，只要访问该网站对应接口就会携带该网站的cookie了，（注意cookie看的是请求接口地址，而不是地址栏的网站地址。会默认携带和这个接口顶级域名相同的cookie）所以这就导致了CSRF攻击的可能，而后续浏览器新加的SameSite就是为了解决这个问题。 具体见 http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

 

以下转载自 https://blog.csdn.net/Stephen_mu/article/details/101453882

一.  同源策略：
起源：

        1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政策。

含义：

协议相同
域名相同
端口相同
跨域解释：

URL    说明    是否允许通信
http://www.aaa.com/a.html

http://www.aaa.com/b.html

同一域名    允许访问
http://www.aaa.com/A/a.html

http://www.aaa.com/B/b.html

同一域名

不同文件目录

允许访问
http://www.aaa.com:8080/a.html

http://www.aaa.com:9090/b.html

同一域名

不同端口

不允许访问
http://www.aaa.com/a.html

https://www.aaa.com/b.html

同一域名

不同协议

不允许访问
http://www.aaa.com/a.html

http://192.168.28.1/b.html

注:192.168.28.1为www.aaa.com所对应的ip地址

 

不允许访问
http://www.aaa.com/a.html

http://kkk.aaa.com/b.html

主域相同

子域不同

不允许访问
http://www.aaa.com/a.html

http://aaa.com/b.html

主域相同

子域不同

不允许访问

（cookie这种情况下也不允许访问）

http://www.aaa.com/a.html

http://www.bbb.com/b.html

不同域名    不允许访问
目的：

        同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

设想这样一种情况：A网站是一家银行，用户登录以后，又去浏览其他网站。如果其他网站可以读取A网站的 Cookie，会发生什么？

很显然，如果 Cookie 包含隐私（比如存款总额），这些信息就会泄漏。更可怕的是，Cookie 往往用来保存用户的登录状态，如果用户没有退出登录，其他网站就可以冒充用户，为所欲为。因为浏览器同时还规定，提交表单不受同源政策的限制。

由此可见，"同源政策"是必需的，否则 Cookie 可以共享，互联网就毫无安全可言了。

限制：

非同源限制：
1.cookie 访问限制
2.DOM 访问限制
3.Ajax 请求限制
 
二.  Cookie跨域
Cookie 是服务器写入浏览器的一小段信息，只有同源的网页才能共享。

两个网页一级域名相同，只是二级域名不同，浏览器允许通过设置document.domain共享 Cookie

例如：
 
A 网页地址为 http://A1.example.com
B 网页地址为 http://B1.example.com
 
A 网页与B网页 一级域名相同，二级域名不同，所以可以通过设置document.domain='example.com';
来实现跨域访问cookie
 
在A页面存在
document.cookie="cookieName=cookieValue";
 
那么在B页面可以通过
val allCookie=document.cookie获取到A网页保存的cookie
注意，这种方法只适用于 Cookie 和 iframe 窗口，LocalStorage 和 IndexDB 无法通过这种方法，规避同源政策

另外，服务器也可以在设置Cookie的时候，指定Cookie的所属域名为一级域名，比如.example.com

 

三.  DOM跨域
      如果两个网页不同源，就无法拿到对方的DOM。典型的例子是iframe窗口和window.open方法打开的窗口，它们与父窗口无法通信。

同理：
    如果两个窗口一级域名相同，只是二级域名不同，那么设置上一节介绍的document.domain属性，就同样可以规避同源政策，拿到DOM。
      而对于完全不同源的网站解决办法有以下三：

1.片段识别符（fragment identifier）
2.window.name
3.跨文档通信API（Cross-document messaging）
1.片段标识符
片段标识符指的是，URL的#号后面的部分，比如http://example.com/x.html#fragment的#fragment。如果只是改变片段标识符，页面不会重新刷新

//父窗口可以将需要传递的信息保存到子窗口的片段标识符中
var src = originURL + '#' + data;
document.getElementById('myIFrame').src = src;
 
//子窗口通过监听hashchange事件得到信息
window.onhashchange = checkMessage();
 
function checkMessage() {
  var message = window.location.hash;
  // ...
}
 
//同理子窗口也可以将需要传递的信息保存到父窗口的片段标识符中
parent.location.href= target + "#" + hash;
2.window.name
浏览器窗口有window.name属性。这个属性的最大特点是，无论是否同源，只要在同一个窗口里，前一个网页设置了这个属性，后一个网页可以读取它。

父窗口先打开一个子窗口，载入一个不同源的网页，该网页将信息写入window.name属性
window.name = data;
 
接着，子窗口跳回一个与主窗口同域的网址
location = 'http://parent.url.com/xxx.html';
 
然后，主窗口就可以读取子窗口的window.name了
var data = document.getElementById('myFrame').contentWindow.name;
这种方法的优点是，window.name容量很大，可以放置非常长的字符串；缺点是必须监听子窗口window.name属性的变化，影响网页性能。

 

3.window.postMessage
HTML5为了解决这个问题，引入跨文档通信 API（Cross-document messaging）

这个API为window对象新增了一个window.postMessage方法，允许跨窗口通信，不论这两个窗口是否同源
 
父窗口http://aaa.com向子窗口http://bbb.com发消息
var popup = window.open('http://bbb.com', 'title');
popup.postMessage('Hello World!', 'http://bbb.com');
 
//postMessage方法的第一个参数是具体的信息内容，第二个参数是接收消息的窗口的源（origin），即"协议 + 域名 + 端口"。也可以设为*，表示不限制域名，向所有窗口发送。
 
子窗口向父窗口发送消息的写法类似
window.opener.postMessage('Nice to see you', 'http://aaa.com');
 
 
父窗口和子窗口都可以通过message事件，监听对方的消息
window.addEventListener('message', function(e) {
  console.log(e.data);
},false);
 
//message事件的事件对象event，提供以下三个属性
event.source：发送消息的窗口
event.origin: 消息发向的网址
event.data: 消息内容
 

四.  Ajax跨域请求
同源政策规定，AJAX请求只能发给同源的网址，否则就报错。

ajax跨域解决：
 
1.JSONP
2.WebSocket
3.CORS
4.架设代理服务器
 
1.JSONP
JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用，老式浏览器全部支持，服务器改造非常小。

1.在js中不能够跨域访问数据，但是在js中可以跨域请求js片段（js代码）

2.所以我们将数据包装在一个js片段内，这样我们可以跨域获取该js片段内的数据

3.可以使用ajax请求包含json数据的js片段，然后在回调访问内立即执行响应的js片段，从而取出包含在内的json数据

jsonp的原理：通过script标签引入一个js文件，这个js文件载入成功后会执行我们在url参数中指定的函数，并且会把我们需要的json数据作为参数传入，有种回调的味道！

例子：

常规方法jsonp:

8083端口：服务器收到这个请求以后，会将数据放在回调函数的参数位置返回。

8083端口项目下存在如下js function片段如下：
 
category.getDataService({
    "data": [{
        "u": "/products/1.html",
        "n": "<a href='/products/1.html'>图书、音像、电子书刊</a>",
        "i": [{
            "u": "/products/2.html",
            "n": "电子书刊",
            "i": ["/products/3.html|电子书", "/products/4.html|网络原创", "/products/5.html|数字杂志", "/products/6.html|多媒体图书"]
        }]
    }]
});
8082端口proj下如此调用访问8083端口下的js片段

function addScriptTag(src) {
  var script = document.createElement('script');
  script.setAttribute("type","text/javascript");
  script.src = src;
  document.body.appendChild(script);
}
 
window.onload = function () {
  addScriptTag('http://example.com:8082/test?callback=category.getDataService');
}
 
或者直接使用
<script src="http://example.com:8082/test?callback=category.getDataService"></script>
 
 
jquery中用于跨域的jsonp:

8083端口：服务器收到这个请求以后，会将数据放在回调函数的参数位置返回。       

js片段如下：
 
category.getDataService({
    "data": [{
        "u": "/products/1.html",
        "n": "<a href='/products/1.html'>图书、音像、电子书刊</a>",
        "i": [{
            "u": "/products/2.html",
            "n": "电子书刊",
            "i": ["/products/3.html|电子书", "/products/4.html|网络原创", "/products/5.html|数字杂志", "/products/6.html|多媒体图书"]
        }]
 
    }]
});
8082端口              $.getJSONP(http://example.com:8082/test, category.getDataService);

 

2.websocket
WebSocket是一种通信协议，使用ws://（非加密）和wss://（加密）作为协议前缀。该协议不实行同源政策，只要服务器支持，就可以通过它进行跨源通信。

以下为websocket协议请求头
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com
我们可以发现该协议请求头里面存在如下信息：Origin: http://example.com,即该请求来源于哪个域

正是因为有了Origin这个字段，所以WebSocket才没有实行同源政策。因为服务器可以根据这个字段，判断是否许可本次通信。如果该域名在白名单内，服务器就会做出如下回应

HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
Sec-WebSocket-Protocol: chat
 

3.CROS（Cross-Origin-Resource-Sharing）跨域资源共享
它是W3C标准，是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求，CORS允许任何类型的请求。

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。

因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。

1.简单请求
简单请求满足的条件是：
 
（1) 请求方法是以下三种方法之一：
    HEAD
    GET
    POST
（2）HTTP的头信息不超出以下几种字段：
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
对于简单请求，浏览器直接发出CORS请求。具体来说，就是在头信息之中，增加一个Origin字段。

例子：

浏览器发现这次跨源AJAX请求是简单请求，就自动在头信息之中，添加一个Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
上面的头信息中，Origin字段用来说明，本次请求来自哪个源（协议 + 域名 + 端口）。服务器根据这个值，决定是否同意这次请求。

如果Origin指定的源，不在许可范围内，服务器会返回一个正常的HTTP回应。浏览器发现，这个回应的头信息没有包含Access-Control-Allow-Origin字段（详见下文），就知道出错了，从而抛出一个错误，被XMLHttpRequest的onerror回调函数捕获。注意，这种错误无法通过状态码识别，因为HTTP回应的状态码有可能是200。

如果Origin指定的域名在许可范围内，服务器返回的响应，会多出几个头信息字段。

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
上面的头信息之中，有三个与CORS请求相关的字段，都以Access-Control-开头。

1.Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值，要么是一个*，表示接受任意域名的请求。

2.Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值，表示是否允许发送Cookie。默认情况下，Cookie不包括在CORS请求之中。设为true，即表示服务器明确许可，Cookie可以包含在请求中，一起发给服务器。这个值也只能设为true，如果服务器不要浏览器发送Cookie，删除该字段即可。

3.Access-Control-Expose-Headers

该字段可选。CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定。上面的例子指定，Access-Control-Expose-Headers：FooBar 可以返回FooBar字段的值。

 

withCredentials 属性

上面说到，CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器，一方面要服务器同意，指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true
另一方面，开发者必须在AJAX请求中打开withCredentials属性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
否则，即使服务器同意发送Cookie，浏览器也不会发送。或者，服务器要求设置Cookie，浏览器也不会处理。

但是，如果省略withCredentials设置，有的浏览器还是会一起发送Cookie。这时，可以显式关闭withCredentials。

 
xhr.withCredentials = false;
需要注意的是，如果要发送Cookie，Access-Control-Allow-Origin就不能设为星号，必须指定明确的、与请求网页一致的域名。同时，Cookie依然遵循同源政策，只有用服务器域名设置的Cookie才会上传，其他域名的Cookie并不会上传，且（跨源）原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

 

2.非简单请求
不同于简单请求的即为非简单请求
非简单请求是那种对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type字段的类型是application/json。

1.预检请求

非简单请求的CORS请求，会在正式通信之前，增加一次HTTP查询请求，称为"预检"请求（preflight）。

浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。

一段浏览器的JavaScript脚本如下：

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();
上面代码中，HTTP请求的方法是PUT，并且发送一个自定义头信息X-Custom-Header。

浏览器发现，这是一个非简单请求，就自动发出一个"预检"请求，要求服务器确认可以这样请求。下面是这个"预检"请求的HTTP头信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
"预检"请求用的请求方法是OPTIONS，表示这个请求是用来询问的。头信息里面，关键字段是Origin，表示请求来自哪个源。

除了Origin字段，"预检"请求的头信息包括两个特殊字段。

1.Access-Control-Request-Method

该字段是必须的，用来列出浏览器的CORS请求会用到哪些HTTP方法，上例是PUT。

2.Access-Control-Request-Headers

该字段是一个逗号分隔的字符串，指定浏览器CORS请求会额外发送的头信息字段，上例是X-Custom-Header

 

2.预检请求，服务器的回应

服务器收到"预检"请求以后，检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，确认允许跨源请求，就可以做出回应。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
上面的HTTP回应中，关键的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以请求数据。该字段也可以设为星号，表示同意任意跨源请求。

Access-Control-Allow-Origin: *
如果浏览器否定了"预检"请求，会返回一个正常的HTTP回应，但是没有任何CORS相关的头信息字段。这时，浏览器就会认定，服务器不同意预检请求，因此触发一个错误，被XMLHttpRequest对象的onerror回调函数捕获。控制台会打印出如下的报错信息。

 
XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
 服务器回应的其他CORS相关字段如下

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000
1.Access-Control-Allow-Methods

该字段必需，它的值是逗号分隔的一个字符串，表明服务器支持的所有跨域请求的方法。注意，返回的是所有支持的方法，而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

2.Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段，则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串，表明服务器支持的所有头信息字段，不限于浏览器在"预检"中请求的字段。

3.Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

4.Access-Control-Max-Age

该字段可选，用来指定本次预检请求的有效期，单位为秒。上面结果中，有效期是20天（1728000秒），即允许缓存该条回应1728000秒（即20天），在此期间，不用发出另一条预检请求。

 

3.浏览器的正常请求和回应

一旦服务器通过了"预检"请求，以后每次浏览器正常的CORS请求，就都跟简单请求一样，会有一个Origin头信息字段。服务器的回应，也都会有一个Access-Control-Allow-Origin头信息字段。

下面是"预检"请求之后，浏览器的正常CORS请求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
上面头信息的Origin字段是浏览器自动添加的。

下面是服务器正常的回应。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8
上面头信息中，Access-Control-Allow-Origin字段是每次回应都必定包含的。