Cross-Origin跨站问题详解(跨站请求、跨站cookie)

于 2023-11-11 12:57:43 发布
阅读量1.9k 收藏
点赞数
分类专栏: 计算机科学与技术 文章标签: ssh cors cross-origin cookie 前后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42815846/article/details/134346862
版权

背景:我部署frontend和backend到两个不同的docker容器,前端路径为http://localhost:3000,后端路径为http://localhost:4000。我设置了用户登录功能,并使用cookie进行session管理。当我的前端登录时,创建了一个session,而登录完成时个人信息被保存到session中,以后访问不同页面时只需要检查是否logged in即可,而这个logged in有一个专门的api

问题:用户登录时backend创建了一个session,而用户每次请求isLoggedIn API时,创建的是新的session,意味着一开始登录时创建的session根本没有被使用,导致用户不管访问什么页面,都被要求重新登录

原因:当然是cookie没有设置好,具体问题可以打开F12,查看网络,找到登录时请求的API,找到里面Set-Cookie的地方,比如下图
在这里插入图片描述

可以看到,这个cookie是接收到了,但旁边有个黄色警告
在这里插入图片描述
意味着在backend配置session时,需要设置sameSite为none,并且需要secure,即https协议而不是http

我已经配置了CORS,因此允许跨站请求
在这里插入图片描述
也配置了session
在这里插入图片描述
我设置了same site为none,这样就允许cross origin的cookie,但是cross origin的cookie还要求secure,不仅仅是要把secure改成true,还要使用https,不然cookie会被浏览器自动block,但我现在正在开发,并没有到上线的程度,所以还不想申请SSL/STL证书,但是还没有找到如何让chrome不要使用这么strict的policy。

目前的办法是换一个浏览器,比如星愿,亲测可行。

不过问题来了,为什么我的前后端都是localhost,却还是被当作所谓的cross-origin跨站?这是因为这个所谓的cross origin,不仅仅是看domain域名,还有使用的protocol(如http),以及使用的端口,而我的前后端端口不一样,因此同样被当作cross-origin。所以需要配置CORS以及在处理用户session和cookie时想办法先绕过这个问题,等网站上线时再去配置HTTPS

_less is more
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Nginx反向代理解决问题详解
01-10
在之前的分享的域资源共享的文章中,有提到要注意域时,如果要发送Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。在此次项目开发中与他人协作中就遇到此类问题。 ...
Access-Control-Allow-Origin问题的终极解决,给自己做备份
10-16
二、Access-Control-Allow-Origin详解 1. Access-Control-Allow-Origin:这是一个响应头,服务器通过设置这个头,可以指定哪些来源的请求被允许。它可以是一个特定的域名,如"www.example1.com",也可以是通配符"*...
什么是域(cross-origin请求,如何解决问题
官方推荐
08-31 9021
什么是域(cross-origin请求,如何解决问题
掌握 CORS 请求,读这篇文章就够了
360技术
11-22 2870
在 Web 前后端分离架构模式下,域(源)请求属于日常的基本情况了。浏览器出于安全考虑,会限制 JavaScript(简称 JS)脚本内发起源 HTTP 请求,同源没有此类限制。前端解决域方法有很多,比如WebSocket 协议域、JSONP 请求域和域资源共享 CORS等。01CORS 简介CORS 全称为 Cross-Origin Resource Sharing,被译为域...
域(Cross-Origin
最新发布
LJH_java10086的博客
10-05 475
常见的头信息包括 Access-Control-Allow-Origin(指定允许访问的源)、Access-Control-Allow-Methods(指定允许的请求方法)、Access-Control-Allow-Headers(指定允许的请求头)等。域(Cross-Origin)是指在浏览器环境下,当一个网页的 JavaScript 代码尝试访问与当前页面不同源(域名、协议或端口)的资源时,会受到同源策略的限制,导致请求被拒绝。以上是几种常见的解决问题的方法,每种方法都有其适用的场景和限制条件。
CORS 访问 origin头 和 域 referer 头的配置
吃个榴莲压压鲸的博客
09-15 4191
cors 全局配置文件中,加入域名白名单 private RefererProperties properties private CorsConfiguration buildConfig(){ List<String> stelist = properties.getRefererDomain(); CorsConfiguration corsConfiguration = new CorsConfiguration(); if(CollectionUti..
flask—— flask-cors 解决问题
热门推荐
记录点滴
09-26 3万+
CORS的全称是Cross-Origin Resource Sharing ,有w3c组织制定的,现在这个规范,已经被大多数浏览器支持,处理域的需求。 CORS需要后端应用进行配置,因此,这是一种后端域的配置方式,这种方式很容易理解,一个陌生的请求来访问你的服务器,自然需要进行授权。。。(关于前端在vue中域的配置在下一篇文章介绍!) 1、安装flask-cors 包 pip ins...
django解决请求问题详解
09-19
在Web开发中,请求Cross-Origin Request)是一个常见的问题,它涉及到浏览器的安全策略,不允许JavaScript从一个源(Origin)向另一个源发送HTTP请求,除非两个源完全相同。Django是一个流行的Python Web框架...
如何在ASP.NET Web API中启用请求
04-08
为了解决这个问题,我们需要启用源资源共享(CORS,Cross-Origin Resource Sharing),使得Web API能接受来自不同源的请求。本篇将详细讲解如何在ASP.NET Web API中实现这一功能。 1. CORS基本概念: CORS是一种...
深入浅析Nginx实现AJAX请求问题
12-02
- `'Access-Control-Allow-Credentials' 'true'`:如果设置为`true`,表示允许请求携带认证信息(如Cookie),这通常用于需要用户登录的情况。 - `'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'`:定义了...
springboot解决CORS域的三种方式&cookie域支持
yzh_1346983557的博客
06-24 5185
Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Strict最为严格,完全禁止第三方 Cookie点时,任何情况下都不会发送 Cookie。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。如果使用的是 Spring-Session,可以使用以下配置来设置 cookie 的 SameSite 属性(创建两个普通的SpringBoot项目A、B,A配置8081端口,B配置8082端口。
域的区别;前端多种域方式
weixin_50464560的博客
08-13 3298
一、域的由来(前端多种域方式)          域大家都不陌生,域是为了克服浏览器的同源策略。但可能对浏览器为什么会出同源策略有些陌生。这里先简单介绍域的由来。         浏览器的同源策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资源,所以需要域。所以就出现了各种域的方式,如JSONP、CORS、H5的postMessage、N...
域(二)CORS
二豪码字
09-14 1067
CORS域是目前使用最多的域解决方案,是W3C的一种技术规范,2014年起成为行业的标准,当前所有的浏览器都支持CORS。属于HTTP的一部分。 CORS(Cross-origin resource sharing):域资源共享。要实现CORS需要前后端同时的支持,而浏览器自动给支持CORS,所以设置主要是服务器端。 浏览器将CORS请求分为两种:简单请求和非简单请求。 简单请求(同时满足两大条件): (1)请求方法是以下三种之一: HEAD GET POST (2)Http的头信息不超出以下几种字段
问题解决
Java后端技术栈
03-08 1662
同源不同源一句话就可以判断:就是url中 scheme(协议),host(域名), port(端口) 都相同即为同源。不同源就是出现问题 前端解决办法:jsonp 后端解决办法:CORS 运维解决办法:ngnix 参考博客: 百度安全验证 别在问我问题了,详解以及前端、后端、运维解决的方法统统写在这里了。_星宇大前端-CSDN博客_域前端解决还是后端解决 ...
WEB脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 7918
【常见Web应用安全问题】 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
CORS域资源共享及解决方案
憧憬个人博客
02-08 1684
为什么会出现域的问题?Javascript的访问是根据同源策略来的,同源策略即(同端口,同协议,同域名)。现在主流的开发方式都是前后端分离,所以很容易就出现域的问题。cors即域资源共享,解决了前后端分离的资源共享问题。目前主流的浏览器都支持corsCORS出现场景 简答请求和非简单请求有些情况并不会触发cors的预检请求(即Options请求)我们将这种称...
(cross-site)、域(cross-origin)、SameSite与XMLHttpRequest.withCredentials
EmotionComputer
12-01 1839
域,注意是浏览器设置的同源策略,是在浏览器端限制的,也就是在当前域名下发送的xhr请求是否和当前域名同域。 如果域了,可以通过设置Access-Control-Allow-Origin来解决域; 如果是同域,则cookie自动被带上,如果是域,则需要设置withCredentials(chorme浏览器94以前的版本); 如果是在启明星里执行console.log(window.location),则打印的是启明星的location。 同域下不一定能携带cookie??这好像还和samesite有关
flask+uni-app前后端传参
小熊全栈
08-19 3359
我的上一篇文章写了一个如何从前端uni-app发送请求给后端flask但是有没有在读完之后发现两个问题:1.在终端报了一个错,存在问题。2.如何接到请求并把请求数据答应出来 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言安装flaskpip安装easy_install安装安装flask_corspip安装python的代码新建一个.py的文件引入模块创建flask对象创建一个网址运行flask总结 前言 学习如何接收uni-app的请求并将数据返回给uni-app显.
CORS Error: Cross origin requests are only supported for HTTP; XMLHttpRequest; 加载本地文件html
Colin_Downey的博客
05-07 1018
在打开本地文件时出现CORS Error: Cross origin requests are only supported for HTTP,无法加载本地文件。 出错原因: 解决方法: 1.Install NodeJS// Hint: If you're on a Mac, you want to install and useHomebrewfor this ...
XSS攻击详解:危害、类型与JavaScript知识
"XSS攻击" XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它发生在攻击者能够在用户浏览器中注入恶意脚本时。这种攻击通常发生在网没有正确地过滤或编码用户输入的情况下,使得恶意代码能够与合法的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值