跨域 cookie session 相关

最新推荐文章于 2021-11-22 08:11:47 发布
最新推荐文章于 2021-11-22 08:11:47 发布
阅读量181 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44187446/article/details/106055807
版权

跨域相关

同源策略

同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到 XSS、CSFR 等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个 ip 地址,也非同源。

同源策略限制内容有:

  • Cookie、LocalStorage、IndexedDB 等存储性内容

  • DOM 节点

  • AJAX 请求发送后,结果被浏览器拦截

但在html 中是有标签允许跨域

<img src=XXX>
<link href=XXX>
<script src=XXX>

而在实际应用开发中 第三种情况是我们最常见,即阻止一个域的javascript脚本和另外一个域的内容进行交互。

跨域:

客户端请求服务端,当协议、子域名、主域名、端口号中任意一个不相同时,都算作不同域。不同域之间相互请求资源,就算作“跨域”。

常见跨域场景

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8jmZQVkG-1589182778452)(F:\代码资料\java相关\跨域\跨域.assets\1.png)]

跨域解决方案

1.JSONP

原理: 利用 script 标签没有跨域限制的漏洞,网页可以得到从其他来源动态产生的 JSON 数据。JSONP 请求一定需要对方的服务器做支持才可以。

优缺点: JSONP 优点是简单兼容性好,可用于解决主流浏览器的跨域数据访问的问题。缺点是仅支持 get 方法具有局限性,不安全可能会遭受 XSS 攻击。

JSONP 的实现流程:

  • 声明一个回调函数,其函数名(如 show)当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的 data)。

  • 创建一个script标签,把那个跨域的 API 数据接口地址,赋值给 script 的 src,还要在这个地址中向服务器传递该函数名(可以通过问号传参:?callback=show)。

  • 服务器接收到请求后,需要进行特殊的处理:把传递进来的函数名和它需要给你的数据拼接成一个字符串,例如:传递进去的函数名是 show,它准备好的数据是show(‘我不爱你’)。

  • 最后服务器把准备的数据通过 HTTP 协议返回给客户端,客户端再调用执行之前声明的回调函数(show),对返回的数据进行操作。

    前端代码

    <script>
    //原理
    // function test() {
    //     var url = "http://localhost:8081/test?callback=handleCallback";
    //     var script = document.createElement('script');
    //     script.setAttribute("type","text/javascript");
    //     script.src = url;
    //     document.body.appendChild(script);
    // }
    //ajax + jquery
    function test() {
        $.ajax({
            type: "get",
            url: "http://localhost:8081/test",
            data: {},
            jsonp: "callback",//->把传递函数名的那个形参callback,可省略
            dataType: "jsonp", //指定服务器返回的数据类型
            jsonpCallback: "handleCallback",  //指定回调函数名称 如果不指定 jquery+ajax 会自动生成一个
            success: function (data) {
                alert(JSON.stringify(data))
            }
        });
    }


    function handleCallback(data) {
        console.log(JSON.stringify(data))
        alert(JSON.stringify(data))
    }
</script>

       @GetMapping("/test")
    public void ttt(@RequestParam(value = "page", defaultValue = "1") Integer page,
                    @RequestParam(value = "nums", defaultValue = "10") Integer nums,
                    HttpServletRequest request,
                    HttpServletResponse response) throws IOException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");
        List<Article> articles = articleService.selectList(new EntityWrapper<Article>().orderBy("article_publish_time"));
        String jsonArray = JSONObject.toJSONString(articles);
        String callback = request.getParameter("callback2");
        System.out.println(callback);
        String rs = callback + "(" + jsonArray + ")";
        response.getWriter().write(rs);
    }

    2.CORS

    1、普通跨域请求:只需服务器端设置Access-Control-Allow-Origin

    2、带cookie跨域请求:前后端都需要进行设置

    第一种:

        @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedHeaders("*")
                .allowedMethods("*")
                .maxAge(3600)
                .allowCredentials(true);//允许携带cookie
    }

    第二种还需要前端也进行配置,如下:

    $.ajax({
   url: 'http://localhost:8080/test',
   type: 'get',
   data: {},
   xhrFields: {
       withCredentials: true    // 前端设置是否带cookie
   },
   crossDomain: true,   // 会让请求头中包含跨域的额外信息,但不会含cookie
});

    3.nginx

    windows上安装配置启动~~ netstat -an|findstr 80

    前端去请求nginx服务http://localhost/ nginx转发到http://localhost:8081/

        function test() {
        $.ajax({
            type: "get",
            url: "http://localhost:80/test",
            data: {},
            success: function (data) {
                alert(JSON.stringify(data))
            }
        });
    }

    nginx配置

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Iyo9lHJT-1589182778454)(F:\代码资料\java相关\跨域\跨域.assets\image-20200428111853165.png)]

参考:https://cloud.tencent.com/developer/article/1477798

参考:https://cloud.tencent.com/developer/article/1595018

跨域解决方案还有其他

Cookie session

参考文章:https://blog.csdn.net/qq_28296925/article/details/80921585

默认情况下 ajax 请求 cookie 是不允许跨域的

可以通过在ajax 中设置以及后端项目设置

前端

// 4.cors_ajax
	function testCookie1() {
	        $.ajax({
	            type: "get",
	            url: "http://localhost:8081/generate",
				dataType: "", //指定服务器返回的数据类型
	            data: {},
				crossDomain:true,
				xhrFields: {  withCredentials: true  },
	            success: function (data) {
	                console.log("请求成功")
	            }
	        });
	    }
	function testCookie2() {
		        $.ajax({
		            type: "get",
		            url: "http://localhost:8081/getCookie",
					dataType: "", //指定服务器返回的数据类型
		            data: {},
					crossDomain:true,
					xhrFields: {  withCredentials: true  },
		            success: function (data) {
		                console.log("请求成功")
		            }
		        });
		    }

后端

@Configuration
@Slf4j
public class WebMvcConfig implements WebMvcConfigurer {


    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedHeaders("*")
                .allowedMethods("*")
                .maxAge(3600)
                .allowCredentials(true);//设置允许携带cookie
    }
}

html5中的Web Storage

参考文档 https://cloud.tencent.com/developer/article/1549171
参考文档 https://developer.mozilla.org/zh-CN/docs/Web/API/Window/sessionStorage

HaiQ~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sessioncookie跨域共享
03-29
该文件可以通过代码实例,让你清楚的理解sessioncookie的意思,当你明白了这点,你就可以设计出来单点登录功能,同一账号在同一时间只能登录一次功能。同时你可以通过ie、firefox去测试你对sessioncookie的理解在此之前是否正确,可以简单告诉你session不是我们大都认为的在登录时候,通过request.getSession()产生的,而是你在首次访问一个应用时候,就已经产生了,这个在我的代码里有ActiveUserListener.java这个session创建的监听器.在此共享,你值的拥有
16.跨域_Cookie_Session
山兔的博客
10-26 509
只有引入中间件才可以敲后台代码 浏览器向服务器要数据,先访问服务器,服务器根据请求向数据库要数据。数据库的数据返回给服务器,服务器在返回给浏览器 :是一行 :表头 :单元格普通的数据 现在前端开发基本用React/Vue 浏览器一开始访问服务器,服务器会返回index.html给它。所以浏览器上面会显示index.html给用户看。用户在看的时候就会点击按钮 在浏览器的html页面,点击有JS代码链接的按钮,执行JS代码,JS就会请求到服务器的UserServlet,UserServlet就会把数据送回
交互中的跨域cookiesession
qq_51007706的博客
07-27 343
卓音暑期作业二交互中的跨域CookieSession 交互中的跨域 1、什么是跨域?? 指的是浏览器不能执行其他网站的脚本,也就是前后端的代码运行在不同的服务器上的时候就会出现跨域问题,它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 2、如何解决跨域?? 方案一、使用Ajax的jsonp来解决(只能使用get请求) 方案二、使用JQurey的jsonp插件(对于get、post请求不做要求,但是从后台发来的消息依旧是jsonp格式的数据) 方案三、使用cors Cookie
跨域读取Cookiesession之HttpWebRequest另类方法(网站API开发)
田林的博客
01-06 9139
在网上找了很多跨域读取Cookie的方法,但都是A域主动设置B域的Cookie,而没有B域去获取A域Cookie的方法。若要转载,请注出处 http://blog.csdn.net/try530/archive/2009/01/06/3721525.aspx所谓A域主动设置B域的Cookie1:在B.com上新建一文件:SetCoo
结合实践谈谈cookiesession——cookie跨域session共享
lmjy102的博客
02-22 3659
想必做过http开发的小伙伴们都知道cookiesessioncookie是存储在客户端的,session是存储在服务器的。关于cookiesession的理论和区别网上有很多相关的说明,这里就不再多说了。 本篇主要通过一些实践中的案例和大家分享一下踩到坑,重点说明了cookie跨域问题和session服务器共享问题,以php语言为使用语言进行说明。 先聊聊cookie
iframe跨域session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
PHP实现cookie跨域session共享的方法分析
10-16
这个过程利用了iframe的同源策略例外,以及JavaScript的跨窗口通信能力,实现了跨域Cookie的共享。 ### Session共享 Session共享通常用于同一服务器下的多个应用间,或分布式服务器环境。PHP本身并不支持跨服务器...
关于Iframe如何跨域访问CookieSession的解决方法
10-27
至于Session,虽然它看起来与Cookie不同,但它们在很多情况下密切相关Session通常依赖于Cookie来存储Session ID,这个ID被发送到服务器,服务器根据ID查找并操作相应的Session数据。如果清除了Cookie中的Session ...
iframe 跨域访问session
01-28
然而,当涉及到跨域时,`iframe` 遇到的问题之一就是无法正常访问父页面或被嵌入页面的`session`。这是因为浏览器的同源策略(Same-Origin Policy)限制了不同源之间的交互,包括`session`和`cookie`。 同源策略是...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域SessionCookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
【其它】cookie & session学习记录 解决跨域登陆问题
tangxz的博客
08-11 326
一、Cookie/Session的实质/存储的位置 1、Cookie/Session的作用 ​ ​ ​ ​ ​ ​ ​ 同一web应用多次进入不同页面时,为了避免多次登陆操作,就有了cookie,用户把少量的信息以键值对的方式存储到自己的电脑上,可以随意的修改,这样很不安全。就产生了一个新的存储会话机制:sessionsession也是一种服务区存储数据的方式,它存在服务器的/tmp 目录下(本...
浅谈跨域cookiesession的联系
u010359928的博客
07-09 2044
今天谈谈自己学习web开发关于跨域cookiesession的一点心得,纯属做个笔记。         cookiesession的共同点是他们都是以键值对的方式保存,都可以设置过期时间,他们的作用都是保存一些临时的数据。他们都可以选择保存在内存中或者其他地方,session可以选择保存在数据库或文件中,而cookie可以选择保存在文件中,不保存在内存是为了能够即使在不同的进程中也能够访问
第十六天:跨域-cookie-session
qq_45750691的博客
11-22 242
第十六天:跨域-cookie-session 跨域 这是个安全策略,只能我允许的域才能访问 前后端分离 通过这样的方式后,我们的项目打不开,前端解析会出现问题,这就是跨域的问题 同源策略 浏览器有个同源策略(Same-Origin Policy) 它规定了:默认情况下,AJAX请求只能发送给同源的URL 同源是指3个相同:协议、域(IP)、端口 但是img vidio等图片不受同源策略的影响 所以我们俩不同源,所以访问不到数据 当我们通过这样的方式去访问时,就是跨域访问,我们怎么去解决这个问题
分布式session的共享及cookie跨域共享
wangxiaowei333的博客
02-06 5580
本文将简单介绍一下分布式环境下session共享问题、跨域来共享cookie及多终端session的统一。 一:分布式session的共享 既然是一个分布式 Session的处理框架,必然会重新实现 HttpSession的操作接口,使得应用操作 Session的对象都是我们实 现的 InnerHttpSession对象,这个操作必须在进入应用之前完成,所以可以配置一个 fil
ajax跨域cookiesession失效的问题解决办法
tz_gx的专栏
06-29 1634
后台设置: response.setHeader("Access-Control-Allow-Credentials", "true"); response.addHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); response.addHeader("Access-Control-Allow-Method
使用SpringSessioncookies跨域导致Session不一致问题的解决
热门推荐
程序世界里的一万万万个为什么
11-11 2万+
SpringSession默认使用Cookies保存和传递SessionId,在单WebApp情况下,SessionId可以正常传递,但在多WebApp时SessionId则无法正常保存和传递,仍然会导致Session失效。这是典型的Cookies跨域导致的问题,本文将给出了具体的解决方案。
跨域、跨子域,跨服务器读取session
cleargreen的博客
09-27 3038
首先我们来了解下cookie, cookie有两个重要的属性:domain和path domain告诉浏览器当前要添加的cookie的域归属,如果没有明确的指明则默认当前域,比如通过www.vinceruan.info添加的域默认就是www.vinceruan.info,通过访问blog.vinceruan.info所生成的cookie的域就是blog.vinceruan.info。
交互中的跨域——cookiesession
Elainerui的博客
07-27 482
交互中的跨域——cookiesession 一、跨域 1.1为什么会出现跨域问题? 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(po
springboot 跨域 session+cookie失效问题
最新发布
08-29
Spring Boot 跨域Session Cookie失效问题的解决方法如下: 首先,跨域问题可以通过配置Spring Boot的CORS(跨源资源共享)来解决。在Spring Boot中,可以使用注解 `@CrossOrigin` 或在配置类中添加 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值