cookie的规范Cookie的不可跨域名性或Cookie与域名的关系

最新推荐文章于 2021-02-09 15:27:24 发布
最新推荐文章于 2021-02-09 15:27:24 发布
阅读量2.4k 收藏 3
点赞数 1
原文链接:https://blog.csdn.net/weixin_43043173/article/details/85914901
版权

前些天在开发中遇到了关于浏览器cookie的一些小细节问题。

例如: 我创建的一个小购物车的web项目。
用nginx绑定域名 cart.test.com,对应ip为localhost:8888。

具体问题: 使用地址栏访问:cart.test.com/cart/addItemToCartList?itemId=123 (此为添加购物车数据方法)时,返回的结果为成功,存储过程没有问题。
但是,我使用localhost:8888/cart/findCartList(此为查询购物车数据方法)获取的数据却是空数组:[]。然而,如果换成 cart.test.com/cart/findCartList 访问该方法时却可以拿到数据。
解决思路:通过debug发现我使用 cart.test.com/cart/findCartList 和localhost:8888/cart/findCartList 访问同一方法时,所产生的cookie是不一样的。

答案:百度得知
cart.test.com/cart/findCartList
localhost:8888/cart/findCartList
域名和域名对应相同ip
这种情况属于跨域场景。又因为,Cookie具有不可跨域名性。所以无法获取同样的数据。
解决方案:初步定为统一访问方式
参考如下:

*常见跨域场景
URL 说明 是否允许通信
http://www.domain.com/a.js
http://www.domain.com/b.js 同一域名,不同文件或路径 允许
http://www.domain.com/lab/c.js
http://www.domain.com:8000/a.js
http://www.domain.com/b.js 同一域名,不同端口 不允许

http://www.domain.com/a.js
https://www.domain.com/b.js 同一域名,不同协议 不允许

http://www.domain.com/a.js
http://192.168.4.12/b.js 域名和域名对应相同ip 不允许**

http://www.domain.com/a.js
http://x.domain.com/b.js 主域相同,子域不同 不允许
http://domain.com/c.js

http://www.domain1.com/a.js
http://www.domain2.com/b.js 不同域名 不允许*

最后说一下cookie的相关知识点:
Cookie的不可跨域名性
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?

答案是否定的。Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。

Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google与Baidu的域名不一样,因此Google不能操作Baidu的Cookie。

需要注意的是,虽然网站images.google.com与网站www.google.com同属于Google,但是域名不一样,二者同样不能互相操作彼此的Cookie。

newbei5862
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie 跨域解决方案(顶级域名和子级域名之间的Cookie共享、修改、删除)
专注基础架构领域
01-15 3401
最近项目中刚好涉及到了主域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,域名的话就拿顶级域名和二级域名为例,其他的场景都是类似。 一、设置COOKIE 1、顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成:如yangbai.com能设置domain为yangbai.com或者www.yangbai.com,但不能设置domain为login.yangbai.com,这样cookie不会生成。 以下面的代码为例:
COOKIE 规范COOKIE 规范
05-13
ajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajax
Cookie规范介绍
weixin_34319374的博客
03-14 85
目前有以下几种 Cookie 规范: Netscape cookie 草案:是最早的 cookie 规范,基于 rfc2109。尽管这个规范与 rc2109 有较大的差别,但是很多服务器都与之兼容。 rfc2109, 是 w3c 发布的第一个官方 cookie 规范。理论上讲,所有的服务器在处理 cookie( 版本 1) 时,都要遵循此规范。遗憾的是,这个规范太严格了,以致很多服务器不正...
Cookie规范
09-23 1687
http协议之cookie标准RFC6265介绍   cookie是现代web系统开发中非常重要的一个技术,最近对cookie标准RFC6265进行了了解,从中选取了部分内容。 1.cookie的主要作用   因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器。所以,需要额外的数据用于维护会话。 Cookie 正是这样的一段随HTTP请
HTTP Cookie规范
诗人不写诗
09-21 772
所有数据在网络上传输,最终都可以理解为字符串的传输。不要跟我扯到二进制,还原主义并没有将问题简单化,特别是在计算机世界里,使用还原主义,一切都还原成二进制流,这根本没有意义。 这里我们先还原到文件这个程度,所有文件都是有格式的,比如视频的avi格式,图片的jpg格式,文档的doc格式,表格的xls格式。何为格式,就是表示文件的规范,格式规定了文件的文件头,文件体,文件尾等,让文件的生成和读取可以程序化,可以在网络上传输。 这里HTTP协议也是一样的道理,HTTP是超文本传输协议,可以传输各种文件,所以发
Cookie 规范
无花的专栏
05-04 96
INTRODUCTION Cookies are a general mechanism which server side connections (such as CGI scripts) can use to both store and retrieve information on the client side of the connection. The addition o...
指定js可访问其它域名cookie的方法
01-19
默认情况下,一个主机中创建的cookie在另一个主机下是不能被访问的,但可以通过domain参数来实现对其的控制,其语法格式为: [removed]=”name=value;domain=cookieDomain”; 以sosuo8为例,要实现跨主机访问,可以...
asp.net关于Cookie跨域域名)的问题
10-27
Cookie规范上说,一个cookie只能用于一个域名,不能够发给其它的域名。因此,如果在浏览器中对一个域名设置了一个cookie,这个cookie对于其它的域名将无效。如果你想让你的用户从你的站点中的其中一个进行登录,...
cookie在javascript中的使用技巧以及隐私在服务器端的设置
01-19
一个网站的cookie字符串包含了该站点域名下的所有cookie(javascript 可访问的,不包括 httponly 的cookie ),多个cookie之间用分号和一个空格隔开,最多一般是 20个或50个,例如,包含2个cookie的字符串格式为 ...
Cookie守护者「Cookie Keeper」-crx插件
03-21
Cookie Keeper是一个小型实用程序,可从您不需要的域中删除Cookie。要使用扩展名,请打开选项页面,并将新域添加到要保留的Cookie的“规则”页面。当您手动单击选项页面内的垃圾桶图标或启用了自动选项删除Cookie时...
aws-cloudfront-sign-cookies:节点js模块为Cloudfront生成签名的Cookie
04-30
这是因为S3 URL的签名生成与CloudFront URL的处理有所不同,并且JavaScript的库当前不支持此功能。 如果您还需要执行此操作,那么我创建了这个简单的实用程序来简化操作。 灵感来自 用法 要求 Node.js> = 0.10.0或...
cookie标准
SAP攻城狮
05-16 838
http://www.rfc-editor.org/rfc/rfc6265.txt
Cookie不可跨域名性
cfm_123456的专栏
01-03 990
也就是说,Google会向客户端颁发Cookie,Baidu会向客户端颁发Cookie. 根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie;Google不能操作Baidu的Cookie, Baidu也不能操作Google的Cookie.
Cookie简述
Paige's Blog
11-30 460
1. 什么是Cookie Cookie是HTTP协议的规范之一,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据 首先由服务器通过响应头把Cookie传输给客户端,客户端会将Cookie保存起来。 当客户端再次请求同一服务器时,客户端会在请求头中添加该服务器保存的Cookie,发送给服务器。 2. HTTP协议指定Cookie规范 Cookie通过请求头和
chrome 跨域域名不同无法跨域携带 cookie samesite问题
qq_42535651的博客
02-09 3638
背景: 最近遇到了一个跨域无法携带 cookie 的问题。即我在前后端设置无误的情况下跨域,可以正常发送请求但是无法携带 cookie。 最后经过一番搜索找到了问题的原因,并在此进行记录一下。 什么是跨域跨域是浏览器的一种保护措施。防止一些恶意网站将一些链接以某种形式嵌入在网站中,用户不经意间点击链接,其实就会向链接发送了一个请求。如果请求可以随意携带上 cookie ,那就存在了安全问题,比如使用用户的 cookie 进行一些购物操作等,在用户不知情的情况下进行恶意操作。 因此浏览器限制了不同域名的请
HTTP Cookie 的作用域
艾斯比
11-17 385
背景: Cookie 是有作用域的, 使用 Domain 来区分 响应头 Set-Cookie设置规则: 只允许设置当前域名或者当前域名的直接 / 间接父域名, 不允许设置为其他域名, 包括当前域名的子域名也不允许. 例如 http 的请求域名是 test.abc.com, 那么响应头 Set-Cookie 允许设置 Domain 为 test.abc.com, 或者 abc.com, 但是设置 sub.test.abc.com 或者其他域名都是无效. 虽然服务器可以这么响应, 但是客户端会忽略不符合
跨域问题的产生原因和相应的解决方式(与Cookie相关)
jmlqqs的博客
09-29 565
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。 协议相同 域名相同 端口相同 举例来说,http://www.example.com/dir/page
window.open,跳转时所带的cookie与原页面不一样
最新发布
06-08
如果您希望在新窗口中访问与原始页面相同的cookie,您需要将cookie设置为在域名和路径上都可访问。例如,您可以将cookie的`domain`设置为父窗口的域名,或者将cookie的`path`设置为父窗口的路径,这样cookie就可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值