跨越(三)CORS中的Cookie

最新推荐文章于 2022-06-24 15:15:14 发布
最新推荐文章于 2022-06-24 15:15:14 发布
阅读量360 收藏
点赞数
分类专栏: 跨域 文章标签: http html5 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44475591/article/details/120605388
版权

之前遇到过一个跨域的问题详情点击此处,在服务端配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials,并且前端设置withCredentials 为true。同样的程序在本地计算机运行正常,但是将程序部署到服务器上异常。排查发现是因为浏览器默认不发送Cookie,导致虽然服务器set-cookie,并且前段保存这个cookie,但是在随后的请求中并没有将此cookie携带,服务端没收到cookie,一直认为是新登录,不停的转到登录界面。

但是为社么本地计算机启动时就可以呢?

Cookie翻译过来是饼干,小甜点,曲奇。它是浏览器存储小量信息到本地的一种方式。Http是无状态协议(是指协议对于事务处理没有记忆 能力上一次请求和下一次请求没有关联,HTTP不会记录这些),每一次的Http请求都是独立对等的,服务器不知道上一个访问的是谁,上一次访问干了社么。但是例如会话、登录状态等需要直到用户的状态,就需要一个东西来特征性的标识用户,让服务器直到这次访问和以前联系。Cookie、session、token等都是起这个标识作用。

Cookie就是用来绕开HTTP的无状态性的手段,它是Web的标准技术(是web标准而不局限于只是Servlet),隶属于RFC6265,现今的所有的浏览器、服务器均实现了此规范。

Cookie的属性:

Name和Value:Name和Value是一对键值对,Name是Cookie的名称,Value是该名称对应的Cookie的值。Cookie一旦创建,名称不可修改。

Domian(域):Domain决定Cookie在那个域是有效的,决定向某个域发送请求时是否携带Cookie,默认为请求地址。和同源策略的协议-域名-端口不同,Cookie的域只看域名,和协议端口无关,存取的Cookie只有在本域或子域下才能生效。Domian设置的时候不能设置为服务器所属之外的域。

例如访问三个网页,获得不同的Cookie
baidu.com:根域名 获得cookieA
test.baidu.com:子域名1 获得cookieB
apple.baidu.com:子域名2 获得cookieC
访问baidu.com时可以设置此域名的cookie,但是无法设置两个子域名的cookie。cookieA可以访问上面三个域名,但是cookieB无法访问子域名2,而cookieC无法访问子域名1。

Path:Path是Cookie的有效路径,和Domain类似,也对子路径生效。

Expires/Max-age:两个均为Cookie的有效期,Expires是Cookie被删除的时间点(服务器时间),格式为GMT,若设置为以前的时间则立刻删除。若不设置则默认页面关闭时删除该cookie。Max-age标识多少秒之后失效,默认值为-1。Expires是1.0就有的,Max-age是1.1才加上的,为了向下兼容浏览器显示Expires/Max-age,表示到期时间。

Max-age > 0 :cookie不仅存在内存里,还会持久化到硬盘,也叫持久cookie。即使会话关闭,这个cookie依旧存在,请求时依然会携带。

Max-age < 0:临时cookie,只存在于内存中,一旦关闭浏览器则cookie消失。使用无痕浏览也不携带此cookie。

Max-age=0:内存中没有,硬盘中也没有,当此值设置为0时,浏览器中存在的cookie让其立马失效。

Max-age比Expires方便,因为Expires是设置时间比较乱,而Max-age是在此后的多少秒。Expires设置的是服务器时间,当服务器时间和浏览器时间不同步时就会出错,而Max-age则不会。

Size:Cookie的大小,在所有浏览器中,任何cookie超过限制大小都会被忽略,且永远不会被设置。不同的浏览器对Cookie大小的限制不同。

HttpOnly:true或false,若设置为true,则不允许通过脚本document.cookie去设置cookie的值,同样在document.cookie也不可见,但是在请求的时候会发送。

Secure:cookie的安全属性,若设置为true,则浏览器只会在HTTPS和SSL等安全协议中传输此Cookie,不会在不安全的HTTP协议中传输此Cookie。

参考资料:https://blog.csdn.net/qq_39834073/article/details/107808959

第一方Cookie:由当前地址栏中的网址给cookie

第三方Cookie:页面中其他嵌入广告或者来源的cookie。

在使用默认Domain的情况下,也就是Domian的设置为访问的域名。 第一方cookie的域和当前访问域名相同,其他域和当前网址域名不用的都是第三方cookie。回到开头那个问题,静态页面启动在localhost:63342,当程序在本地运行的时候,域名是localhost,而运行在云服务器上域名为云服务的域名(xxx.xxx.xxx.xxx)。微软的Edge还有Google浏览器默认都是禁止第三方cookie的。所以在本地运行时,发送回来的属于第一方cookie,浏览器保存,而在云服务器运行,发送回来的属于第三方cookie,浏览器不保存。

二豪的梦呓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS跨域发送Cookie
yiranblade的博客
06-25 3005
引言由于默认情况下浏览器对跨域请求不允许携带Cookie,所以这次开发再与前端同学在权限验证这块踩了好多坑,故将一些教训写下来,共勉!CROS在 2014 年 W3C 发布了 CORS Recommendation 来允许更方便的跨域资源共享,同时CORS也允许我们使用额外的相应头字段来允许跨域发送Cookie。模拟前端代码设置withCredentials为true即可让该跨域请求携带 Cook...
CORS跨域携带Cookie
九城科技 博客:https://blog.minkse.cn/
07-15 846
遇到的问题: 某个老系统使用Vue+Axios+PHP开发,本身是部署在同一域名下 这时候不会涉及到跨域问题 但是奈何线上服务器带宽不够用,且JS、CSS、图片等静态资源加载很缓慢 只能把静态资源迁移到阿里云的OSS存储对象里 导致现在出现了跨域,而且无法携带Cookie,因为是老系统,不太可能改成类似JWT的形式 abc.com指向了OSS的静态地址用于打开前端页面 而JS请求的后台接口地址变成了api.com 这时候后台在header头返回了Set-Cookie也没用 因为同源策略,浏
CORS跨域以及Cookie跨域
xxxmen008的博客
08-06 170
@CORS跨域以及Cookie跨域 CORS跨域以及Cookie跨域 一、CORS跨域 首先跨域可以理解为指的并不是同一个项目!!! 举例: 本地同时部署两个web项目:web1,web2 域名分别是http://localhost:8081和http://localhost:8082 web1向web2发起请求即为跨域! 此时浏览器会询问web2是否接受web1的请求(这里是一个options请求预检)。 如果web2配置了允许web1的请求则可以正常响应,否则拒绝响应。 二、cookie跨域 前
跨越域的Cookie
kingwkb的专栏
08-20 2047
     所有的网站开发者都会非常喜欢cookie的强大特性和易用性,它在跟踪用户信息,建设人性化、个性化的网站方面,有着强大的作用,而且,又避免了使用数据库的昂贵开销。但是,cookie却不能跨越域传递,只有那些创建它的域才能访问;这里,我们讨论如何利用ASP突破这个限制。      Cookie简介      首先,我们对Cookie做一个简单的介绍,说明如何利用ASP来维护cookie。  
Cors跨域(二):实现跨域Cookie共享的要素
架构师:通透,才能写出好代码!
06-17 1584
高考不努力,工地里当兄弟
cors-set-cookie-demo
05-31
CORS 跨域 Cookie 写入场景主页面在 foo.com:3000 域下主页面 Ajax 请求 bar.com:3000 的 /set-cookie 请求,后者会在 bar.com 下写入一个 cookie主页面 Ajax 请求 bar.com:3000 的 /echo-cookie 请求,后者会将 ...
天宝GPSTSC软件cors设置操作基础手册最新版.docx
11-21
"天宝GPSTSC软件cors设置操作基础手册最新版.docx" 本文档主要介绍了 Trimble GNSS-VRS 操作手册CORS 设置操作基本手册最新版,旨在帮助用户正确地设置和使用 Trimble Access 软件进行 CORS 连接。 ...
天宝GPSTSC3软件cors设置操作手册最新版.doc
11-19
天宝GPSTSC3软件cors设置操作手册最新版.doc
Django使用CORS实现跨域请求过程解析
01-20
1.安装cors模块 pip install django-cors-headers 2.添加应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 3.设置间件 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] 4.添加允许访问...
fastify-cors:加速 CORS
07-23
fastify-cors允许在 Fastify 应用程序使用 。 支持 Fastify 3.x版本。 Fastify ^2.x兼容性请参考及相关版本。 Fastify ^1.x兼容性请参考及相关版本。 安装 npm i fastify-cors 用法 需要fastify-cors并将其注册...
通过cors解决跨域
u013089490的博客
11-06 2343
1.跨域概念       因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是于当前页同域名的路径,这能有效的阻止跨站攻击。因此:跨域问题 是针对ajax的一种限制。 【解决跨域问题的方法】  1.1、Jsonp最早的解决方案,利用script标签可以跨域的原理实现。   限制:   (1)需要服务的支持;   (2)只能发起GET请求; 1.2、ngin...
允许跨域资源共享(CORS)携带 Cookie
pure_light's Blog
04-08 2788
转载自:https://my.oschina.net/tridays/blog/758994摘要: `Access-Control-Allow-Credentials` 响应头会使浏览器允许在 Ajax 访问时携带 Cookie,但我们仍然需要对 XMLHttpRequest 设置其 `withCredentials` 参数,才能实现携带 Cookie 的目标。CORS 是一个 W3C 标准,全称...
解决CORS跨域不能传递cookies的问题
weixin_34194551的博客
03-18 2286
故事背景 前端用的 vue + axios, 后端用的是 ko2,用 koa-passport + passport-local 帮我处理登录注销,用 koa-generic-session 处理session, koa2-cors 处理跨域 问题描述 今天做登录的时候,发现 接口调用正常,数据正常传递,redis里也有存储相应值 唯独前端页面一直没有设置上cookies,无法保存登录状态。 ...
跨域CORS请求携带cookies
u010935773的博客
03-08 805
@TOC跨域CORS请求携带cookies 跨域CORS请求携带cookies Cookie 简介 cookie是存储于访问者的计算机的变量。可以让我们用同一个浏览器访问同一个域名的时候共享数据。 HTTP 是无状态协议。简单地说,当你浏览了一个页面,然后转到同一个网站的另一个页 面,服务器无法认识到这是同一个浏览器在访问同一个网站。每一次的访问,都是没有任何 关系的。 Koa Cookie 的使用 1、Koa 设置 Cookie 的值 ctx.cookies.set(name, value, [o
CORS 跨域Cookie处理
不和贪婪的人相对 不为薄情寡义的人流泪 这世界嘲笑我的人很多 你只是其中一个 不为岁月流逝蹉跎 不随潮流的是否去附和
08-02 281
CORS 跨域Cookie 概述 ​ 基于安全方面的考虑,在浏览器无法获取跨域的 Cookie 这一点时永远不变的。但是我们处理跨域请求时有可能会遇到这样的情况:一个网页与域为bbb.cn的服务器正常发送请求和接收响应,同时这个网页也需要跨域访问aaa.cn服务器。 ​ 众所周知,浏览器会在准备发送的请求附上所有符合要求的Cookie,故在上面的情况浏览器会自动处理网页与域为bb...
cookie跨多域根问题
www110000的博客
12-15 267
大家知道,cookie可以跨子域,像qq.com如果保存用户信息用得是cookie,那么对于pay.qq.com,cb.qq.com我们是可以直接取到cookie的, 1、但是qq.com、qq.com.cn、qq.cn都要拿到cookie,对于cookie的存、放的操作该怎么办? 2、getcookie的时间并没有特意指明是那个作用域,如果要是两个domain有一样的cookie名的话,是...
springboot解决CORS跨域的种方式&cookie的跨域支持
yzh_1346983557的博客
06-24 4998
Lax规则稍稍放宽,大多数情况也是不发送第Cookie,但是导航到目标网址的 Get 请求除外。Strict最为严格,完全禁止第Cookie,跨站点时,任何情况下都不会发送 Cookie。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。如果使用的是 Spring-Session,可以使用以下配置来设置 cookie 的 SameSite 属性(创建两个普通的SpringBoot项目A、B,A配置8081端口,B配置8082端口。
再看CORScookie跨域
darabiuz的博客
04-01 502
1. 前提 之前博客已经写了关于Cors解决跨域的问题 服务器端对于跨域请求的处理流程如下: 首先查看http头部有无origin字段; 如果没有,或者不允许,直接当成普通请求处理,结束; 如果有并且是允许的,那么再看是否是preflight(method=OPTIONS); 如果不是preflight(简单请求),就返回Allow-Origin(必须的)、[Allow-Credentials,Access-Control-Expose-Headers],并返回正常内容。 如果是preflight(预
Cookie跨域与CORS协议
开源世界
04-28 273
什么是跨域? 所谓跨域,意思就是跨过了浏览器的同源策略。 同源指的是个相同: 协议相同 域名相同 端口相同 违反同源策略会有以下限制: Cookie、LocalStorage、IndexDB无法获取 DOM无法获得 AJAX请求不能发送 CORS解决跨域 什么是CORS? 2014年W3C发布了 CORS Recommendation 使资源共享变得更方便,默认情况下,浏览器对跨域请求不会携带Cookie,但鉴于Cookie在身份验证等方面的重要性,CORS推荐使用额外的响应头字段来允许跨域发送Cooki
vue axios 解决cors跨越
最新发布
09-16
解决VueAxios的CORS跨域问题,可以通过在Vue项目的配置文件`/config/index.js`设置代理来实现。具体步骤如下: 1. 打开`/config/index.js`文件,找到`proxyTable`属性。 2. 在`proxyTable`添加一个代理规则,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值