项目场景:
项目场景:项目在原有基础上合并了一个业务系统,并在业务系统的基础上添加了一个整体的系统框架,用户的登录验证也同时迁移到框架中。所以实际登录的流程变为了:用户登录系统框架->返回用户信息token存储到cookie->再次发送登录请求到业务系统->完成登录。
问题描述
由于安全需要,在网络架构上新增了“安全认证网关”服务。在实际登录时,发现登录后无法跳转到主页,一直返回登录的页面。
原因分析:
最终问题定位到响应头的set-cookie中,每条记录都增加了httpOnly;secure;的属性:
解决方案:
关闭安全网关中httpOnly;secure;的相关配置:
延申:
Cookie安全相关属性
HttpOnly :
在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。
将HttpOnly 设置为true 防止程序获取cookie后进行攻击。
Secure :
安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问。
设置了Secure (没有值),则只有当使用https协议连接时cookie才可以被页面访问。可用于防止信息在传递的过程中被监听捕获后信息泄漏。