遇到验证码后台session中不能使用的问题,那是因为跨域导致cookie不能成功写入和携带,解决问题的办法

最新推荐文章于 2022-04-25 21:53:15 发布
最新推荐文章于 2022-04-25 21:53:15 发布
阅读量1.4k 收藏 4
点赞数
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyizuishuai/article/details/109611977
版权

跨域set-cookie无效的解决方案

上次在项目中做一个手机验证码功能时遇到后端set-cookie无法成功的问题,相信很多人都会遇到,今天分享出来,算是做个记录,也给有需要的小伙伴一个参考,下面先说一下场景

手机验证码实现步骤
用户输入手机号并点击发送验证码按钮

此时是向后端服务器发起高请求,传递手机号码
后端接收到手机号码后通过短信服务商的接口发送短信到手机号

由于安全性问题,一般服务商的接口都是由后端发起请求,那验证码是怎么来的呢?当然是我们自己后端生成的(一般是生产一个4位或6位随机数字号码),短信接口只负责发送
用户收到验证码后,在表单中输入并发送验证
后端收到验证码与第2步生成的进行校验,一致则通过,否则不通过
问题来了,我们都知道http请求是无状态的,即每个请求都是独立的,两个请求间没有任何联系,但上面的步骤中,用户发起了两次请求(第1步和第3步),后端怎么知道是同一个人呢?万一当时有10个人同时获取验证码,且都执行完所有步骤,怎么实现各自第1和第3步的对应关系进而进行第4步校验?于是我们引入session

什么是session
session是保存的服务器的一个数据存储机制,一般用于存储用户状态数据,你可以理解为客户端的cookie,因为它们很像,同样是有key/value和有效时间,只是一个在服务端,一个在客户端。这跟本文有什么关系呢?肯定有关系,关系大了去了,不然我写干嘛(自嗨中~~~)

咳~咳。。回归正题,刚刚说了http是无状态的,而我们现在又要把第1步和第3步关联起来,怎么关联呢?session+cookie出马,具体原理如下

第一次接到请求,后关会生成一个sessionid来标识当前会话(我使用express-session来实现),并通过set-cookie响应头在客户端生一个cookie,大概长这样,

connect.sid=s%3Au9xG34DBU1vOVbIpCax0neMxL_Uc1fIC.4ndNJL5G%2B41DtUSLbQ%2BW75Z9wduOAON4lfu2JGTDe5
由于cookie会自动发送给服务器,所以当前用户后面的所有请求都会携带这个sessionid给服务器,服务器通过这个sessionid来标识是否为同一个用户,问题就迎刃而解了…
手机验证码功能具体实现步骤
前端:

用户输入手机号,点击获取验证码
发送请求到后端,
后端:

后端生成随机验证码,保存在session,并给前端响应connect.sid(express-session会Set-Cookie响应头)
并通过手机接口发送给用户手机号(需要后端配置手机短信接口,一般需要购买,这里不做额外说明)
前端:

浏览器接收到Set-Cookie响应头后,自动把sessionid写入浏览器cookie
用户接收到手机验证码并填写到对应输入框
用户点击按钮发送验证码到后端进行校验(sessionid随cookie自动发送到后端)
后端:

后端拿到验证码,并与第3步保存在session的随机验证码进行比较,一致则响应成功,否则响应失败
通过以上步骤,正常情况下你已经能实现手机验证码功能了,可我偏偏遇到了非正常情况,这也是我今天这篇文章的意义,由于开发阶段为前后端分离,请求是产生了跨域,明明已经正确响应了Set-Cookie,允许了CORS跨域,但浏览器的cookie中就是看不到connect.sid的身影,关键浏览器还不报错。

于是各种千里寻她千百度,最后发现默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的,同样,后端通过Set-Cookie在跨域时默认是被浏览器忽略的,解决的方案是两步:

后端设置"Access-Control-Allow-Credentials":true响应头

PS: 设置该响应头后,Access-Control-Allow-Origin的值不能设置为 *,必须设置为具体域名
前端发起请求时设置 withCredentials:true 请求头

// XMLHttpRequest
const xhr = new XMLHttpRequest();
xhr.open(‘get’,url,true);
xhr.withCredentials = true;
xhr.send()

// axios
axios.get(url,{

withCredentials:true
})

// fetch
fetch(url,{

credentials: ‘include’
})

搞定,收工,希望对你有帮助

HumanQualityMan
关注
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5349
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
【SpringSecurity】SpringSecurity+Vue前后端分离使用验证码时后端存入到session是null值的问题解决
qq_43751336的博客
12-13 2458
1. 问题描述 SpringSecurity+Vue前后端分离使用验证码,后端将生成的验证码存入到session,但是在进行验证码验证时获取session验证码值时null的,后端生成的验证码确实是生成好了。问题就是存不进session。 2. 解决问题 后端设置跨域:后端跨域问题有很多解决方式,这里只写一种通过配置类的方式。 主要跨域类 /** * 解决跨域请求的 */ @Configuration public class CorsConfig { private Cors
前后端分离图片验证码session获取问题
Cui6023056的博客
11-22 2537
前后端分离图片验证码session获取问题 最近再搞个项目,在前后端分离时,前端访问验证码Servlet时出现session的值获取总是空的,显示null,如果遇见和我一样的问题可以这样做 这是我写的AJAX $.ajax({ type:"post", url:"跳转Servlet地址", ...
前后端分离验证码存储,session处理
weixin_43165220的博客
04-09 4364
问题描述 前后端分离,验证码存储到session,postman测试可以获取到session验证码,但是在另一台电脑上获取session验证码却始终为null,试了各种跨域携带cookie都不管用。 前言 一个之前完成的项目说要加些新需求要我们做,我们肯定不能拒绝啊,开干。 打开项目,运行,浏览器输入地址,输入用户名、密码、验证码,点击登录,???验证码已失效???啥情况?断点一看,好家伙,获取存储在session验证码一直是null,再将存储验证码session和登录时从请求获取的ses
验证码的通过sessionid读取不到session
永不停歇
01-17 6089
今天遇到一个奇葩问题,,,后台  登陆验证码总是他妹的不对 你知道为什么吗???我真心找资源找半天才找到!!! 尽然是因为  访问   xxx.com/admin.php此时  进入登陆界面,验证码图片读取成功,,但是你发现输入保密子,点击登陆后,,总是说验证码不正确,然后你去输出一下验证码session,,,结果发现呵呵,,,为空 然后你去服务器下的临时文件tmp
java前端验证码点击获取点不了_javaweb登录页面验证码验证以及session验证码值获取不同步的问题...
weixin_39793576的博客
02-26 475
一、html前端代码: 二、web.xml代码:AppRandomImagecom.cct.schoolyard.web.servlet.AppRandomImageheight25width80codeCount4RandomImage/image/random.png三、java类:package com.cct.schoolyard.web.servlet;import java.awt.C...
jsp 验证码 保存到session 第一次登录失败问题
华子的专栏
10-21 872
项目验证码实现思路:登录页面 调用 jsp页面 生成验证码图片 并把验证码保存到 session 用户登录的controller 把用户输入的验证码session取出的验证码 进行比较 ,相同则验证码输入正确。 测试出现一个bug ,bug描述:IE浏览器下 用户第一次登录 总是显示 验证码错误  登录失败,除第一次外都能登录成功。登录成功后 退出,再次登录没问题。直接关闭...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 ...搜索问题,发现跨域,服务器响应的setCookie浏览器无法保存,而且就算保存了域名不同也不能携带。 第一步: 后台添加过滤器,因为前后端分离,不可能每个方
iframe 跨域访问session/cookie丢失问题解决方法
hsyyff的博客
11-07 1185
iframe 跨域访问session/cookie丢失问题解决方法
java 跨域 cookie_跨域请求传递Cookie问题
weixin_31060209的博客
02-20 1929
问题描述前后端完全分离的项目,前端使用Vue + axios,后端使用SpringMVC,容器为Tomcat。使用CORS协议解决跨域访问数据限制的问题,但是发现客户端的Ajax请求不会自动带上服务器返回的Cookie:JSESSIONID。导致每一个Ajax请求在服务端看来都是一个新的请求,都会在服务端创建新的Session(在响应消息头设置Set-Cookie:JSESSIONID=xxx)...
javax.servlet.http.HttpSession 存储验证码失败
weixin_30556959的博客
09-18 96
try { RandomValidateCode randomValidateCode = new RandomValidateCode(); String randomString = randomValidateCode.getRandcode(req, resp);//输出图片方法 // Cannot create a session after...
解决springboot+shiro+Google验证码,在nginx部署环境下无法获取到session验证码问题
weixin_43421537的博客
08-13 811
【现象】 前后端分离项目,在nginx环境下部署。依靠shirosession存储验证码,前台发送请求校验验证码时,发现拿到的不是同一个session,因此取验证码时一直为null。 【解决:更改nginx配置】 proxy_cookie_path 前面是项目路径,后面是配置文件代理的路径 例如后台配置是:server.context-path=/api 且nginx的路径为 location /pathname{......} 则,需要配置proxy_cookie_path形如下: loca.
前后端分离验证码session存储
qq_42383970的博客
10-22 1411
问题: 前后端分离项目,前端发送验证码到后端,存储到session遇到一个问题,比如先获取验证码,取到验证码再去发注册请求,此时两次session不同,则取不到验证码,找了好久不知道什么问题,百度了一些资料,最终定位跨域问题导致每一次请求的session都会重新生成 解决方法: 1.创建一个session工具类用来存储session或者清除session package cn.com.infosec.netseal.webclient.util; import javax.servlet.
java session登录存储后 验证获取不到
weixin_41327271的博客
11-28 1008
今日份踩坑 session做登录存储认证,电脑连接了手机wifi,PC端登录系统,localhost访问项目地址,登录成功,登录信息成功存入session里,可是在登录后页面跳转,做登录验证的时候获取session的时候就为空了。 进过调试,最后解决,换成127.0.0.1即可。 ...
图片验证码遇到集群session验证失败的解决方法)
杀神Jack的博客
11-07 1577
前两天新项目,做了一个关于图片验证码的功能,其实思路什么很简单,就是直接调用接口,给前端输出图片流。在输出流的时候,把验证码给存到session去,然后验证的时候,在从session取值。从而进行验证验证码是否正确。如果是单一的服务器的话是没问题的,但是遇到了集群的话,可能就会出错了。因为一个域名是随机面对的一个服务器的ip,然后你进行图片验证的时候,每次ajax进行的请求,服务器会认为是新的一次请求(前后端分离也是这个问题),然后新的一次请求,取到的验证码肯定就不对了,下面说一下解决方法。 解决方法
记录解决SpringBoot前后端分离跨域导致的图片验证码Sessionid不一致(也即空指针异常问题)
sgsx11的博客
09-14 2755
问题 最近在给项目开发登录注册功能,在登录的图片验证码上出现了问题,报了空指针异常。 逻辑是这样的:在登录页面,前端通过验证码接口先请求验证码,然后输入用户名密码和验证码之后,请求登录接口。在验证码接口我用session保存验证码,在登录接口我从session取出验证码进行校验。 postman测试没有问题,但是前端在测试时报了空指针异常。 于是我查看后端日志,发现请求验证码时返回给前端的sessionId和前端发送登录请求时所携带sessionId不一致,所以后端拿到的sessionId是没有对应
大聪明教你学Java | 一文解决因前后端分离导致无法从 Session 拿到所需数据的问题
不肯过江东丶
04-25 2113
这两天大聪明在开发一个小的应用软件,业务逻辑也很简单,其涉及到一个需求:为了防止恶意提交表单数据,需要在表单增加一个验证码。本来以为是一个挺简单的需求,但是今天却发现了不对劲的地方...
分布式下session认证出现的问题使用spring session解决
关注菜菜的后端私房菜,获取更多技术干货~
07-15 655
分布式下session认证存在的问题 session认证: 客户端在服务端登录认证后,服务端自己保存用户信息,并把session_id放到客户端的cookie,下次客户端带着cookie访问服务端就可以直接访问 这种session认证在分布式下会存在问题 无法访问其他相同模块的集群服务器 因为只在一个服务端上保存信息,其他相同的集群服务器没保存 无法访问其他模块的服务器 因为其他模块的服务器上未保存信息,所以无法访问 解决方案 session复制 只需要改tomcat配置文件 占服务
配置了slb,fastadmin登录无法保存session
安迪夫的博客
07-17 1757
这个问题我解决了!!! 就是把application/admin/library/Auth.php 改成我这样的。 <?php namespace app\admin\library; use app\admin\model\Admin; use fast\Random; use fast\Tree; use think\Config; use think\Cookie; use think\Hook; use think\Request; use think\Session; class.
如何解决jsXMLHttpRequest不能跨域请求的问题
最新发布
06-06
JavaScript ,XMLHttpRequest 默认是不允许跨域请求的,这是由于浏览器的安全策略所限制的。要解决跨域请求的问题,可以采用以下几种方法: 1. 使用 JSONP JSONP 是一种利用 JavaScript 标签的 src 属性不受同源策略限制的特性来实现跨域请求的方法。这种方法的原理是在客户端动态创建一个 script 标签,让其 src 属性指向一个跨域的 URL,并将需要传递的参数以查询字符串的形式拼接在 URL 后面,服务端接收到请求后返回一段 JavaScript 代码,该代码会调用客户端预先定义好的回调函数,并将数据作为参数传递给该函数。 2. 使用 CORS CORS(Cross-Origin Resource Sharing)是一种跨域资源共享的机制,它允许服务器在响应头设置 Access-Control-Allow-Origin 字段,来指定哪些域名可以访问该资源。对于需要跨域请求的资源,只需要在响应头设置 Access-Control-Allow-Origin 字段即可。 3. 使用代理服务器 如果上述两种方法都无法使用,可以考虑使用代理服务器来转发请求。客户端请求代理服务器,代理服务器再向目标服务器发送请求,并将目标服务器返回的数据转发给客户端。这种方法虽然可以解决跨域请求的问题,但需要额外的服务器资源和网络带宽。 总之,在实际的开发,应根据具体的情况选择合适的跨域解决方案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值