【网络安全】Session cookie在父子域的通信与安全问题

最新推荐文章于 2025-07-07 09:49:59 发布
原创 最新推荐文章于 2025-07-07 09:49:59 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #漏洞挖掘 #session

未经许可,不得转载。

文章目录

前言

在 Web 开发中,Session Cookie(会话 Cookie)的作用范围(Domain 属性)对于跨域和子域共享至关重要,以下是关于其作用范围的详细说明。

默认行为

若服务器在Set - Cookie响应头中未明确指定Domain属性,那么该Cookie仅适用于当前域名及其子路径。例如,当sub.example.com返回的响应头为Set - Cookie: sessionID=abc123; Path=/时,此Cookie仅会在访问sub.example.com及其子路径时被发送给服务器,不会在访问example.comapi.example.com时发送。

子域与父域、顶级域的关系

  • 子域可设置Cookie供父域及其他子域使用:在sub.example.com上设置Set - Cookie: sessionID=abc123; Domain=example.com; Path=/是可行的。设置后,该Cookie不仅可在example.com上使用,也能在同一父域下的其他子域(如api.example.com)使用,前提是请求路径符合Path属性的设定。
  • 子域不能
了解本专栏 订阅专栏 解锁全文 超级会员免费看
前端把cookie写在里_js读写Cookie问题Cookie存储时长、Cookie存储)汇总
weixin_29372549的博客
01-15 1493
在采集网站用户行为数据/使用js对用户行为做交互时,经常会使用到Cookie,了解Js Cookie的读写,以及一些细节,非常重要。什么是Cookie所谓Cookie,只是一条极为短小的信息,它被浏览器自动地放置在访问用户的电脑硬盘中。例如:C:\Users\[user]\AppData\Roaming\Microsoft\Windows\Cookies如上图所示,打开的一个文件里面,标示了一个...
Cookie实现sso单点登录
qq_63431773的博客
09-14 587
Cookie 的作用由 domain 属性 path 属性共同决定。在 Tomcat 中,domain 属性默认为当前域名/IP地址。path 属性的有效值是以“/”开头的路径,在 Tomcat 中,path 属性默认为当前 Web 应用的上下文路径。如果将 Cookie 的 domain 属性设置为当前,那么就认为它是 CookieCookie 有一个特点,即中的 Cookie 被子所共享,换言之,子会自动继承中的Cookie
实现单点登录功能的两种方式上 ——cookie
qq_21561833的博客
09-14 1110
1.单点登录的核心思想 通过最近单点登录的实践;私以为单点登录的关键是让不同系统之间的保存登录信息的凭证共享。当满足共享后,就可以实现单点登录。然后实现共享有两种方式。 1.1.在服务器端实现共享 。 服务气端主要就是针对session,将不同服务器的连接到登录服务器,相当于共享的是登录服务器的session来完成登录信息的共享; 2.在前端实现共享 利用顶域名可以共享cookies,将token存储在前端。利用前后端分离。前端负责页面的跳转。后端负责鉴权。网关负责鉴权,auth模块负责登录认证逻辑。 下
父子如何用cookie实现在中登录,子中不用登录
weixin_43801836的博客
09-29 1730
如果不指定,默认为 origin,不包含子域名。它最初是耶鲁大学实验室的项目,后来转让给了 JASIG 组织,项目更名为 JASIG CAS,后来该组织并入了Apereo 基金会,项目也随之更名为 Apereo CAS。一个应用登录以后,后端返回token,前端拿到token后保存在localstroge中,另一个应用登陆时,判断localstroge中是否存储有token,如果有存储,直接使用登录成功。其实这个实现就是单点登录,只要登录了其中一个应用系统,其他的应用系统也可以使用,不用重新登录。
Cookie
wwk1907427823的博客
02-12 201
Cookie 是存储在用户计算机上的小文件。它们旨在保存特定于特定客户端网站的适量数据,并且可以由 Web 服务器或客户端浏览器访问。这允许服务器提供针对特定用户定制的页面,或者页面本身可以包含一些知道 cookie 中的数据的脚本,因此能够携带来自一次访问网站(或相关站点)的信息。 Cookie Cookie 意为“甜饼”,是由 W3C 组织提出,最早由 Netscape 社区发展的一种机制。...
《白帽子讲Web安全》学习:深入解析Cookie会话安全
FFNCL的博客
02-25 1285
指定了 Cookie 可以被哪些域名访问。只有当浏览器请求的域名 Cookie 的 Domain 属性匹配时,浏览器才会在请求中包含该 Cookie
4、增强网络安全Session Imagination用户认证方案
最新发布
pz890123456的博客
07-07 57
Session Imagination是一种创新的用户认证方案,旨在有效缓解CSRF、Clickjacking、Session HijackingSession Fixation等常见网络攻击。该方案通过将身份识别认证分离,利用视觉认证令牌增强Web会话的安全性,同时具备用户友好、成本低普遍适用的优势。博文详细介绍了该方案的核心原理、保护目标、认证流程以及其在实际应用中的性能安全性评估。
Web安全2.3:CSP安全策略CookieSession、同源策略、HTML DOM树
LIHAO的博客
04-19 3423
文章目录Web安全2.3:CSP安全策略:一、CSP:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2)我们这次只注释掉header:(3)两段CSP代码都不注释:3、CSP完整命令:二、Cookie安全:三、SessionWeb安全2.3:CSP安全策略: 一、CSP: 浏览器是XSS等前端攻击的战场,有些浏览器附带一些安全策略,包含自带的XSS过滤、同源...
网络安全:绕过CDN,socketHTTP,cookiesession,Linux挂代理,git config配置等
moRickyer的博客
08-27 675
linux挂代理 可以通过让终端走代理的方式来加快速度 代理:代理是通过客户端服务端通信,传输服务端能够访问到的资源文件,再由服务端客户端通信返回给客户端,从而间接访问服务端能访问的资源. -方法一:(推荐使用) 为什么说这个方法推荐使用呢?因为他只作用于当前终端中,不会影响环境,而且命令比较简单 在终端中直接运行: export http_proxy=http://proxyAddress:port 如果你是SSR,并且走的http的代理端口是12333,想执行wget或者curl来下载国外的东西,可以
面试官:来说说单点登录的三种实现方式
weixin_49114080的博客
10-10 5552
前言 在 B/S 系统中,登录功能通常都是基于 Cookie 来实现的。当用户登录成功后,一般会将登录状态记录到 Session 中,或者是给用户签发一个 Token,无论哪一种方式,都需要在客户端保存一些信息(Session ID 或 Token ),并要求客户端在之后的每次请求中携带它们。在这样的场景下,使用 Cookie 无疑是最方便的,因此我们一般都会将 Session 的 ID 或 Token 保存到 Cookie 中,当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单
web-攻击会话管理】(4.3.2)会话令牌处理中的薄弱:令牌-会话映射、会话终止、客户端暴露、宽泛的cookie范围易受攻击
08-17 410
【会话令牌处理中的薄弱】令牌-会话映射、会话终止、客户端暴露、宽泛的cookie范围易受攻击
设置HTTP会话(Session)的Cookie
2301_80197997的博客
11-02 679
注意:应用程序只部署在一个下,通常不需要设置这个属性,因为默认情况下,Cookie就是当前请求的
单点登录的三种方式
weixin_43860634的博客
02-29 1341
在B/S系统中,登录功能通常都是基于Cookie 来实现的。当用户登录成功后,一般会将登录状态记录到Session中,或者是给用户签发一个 Token,无论哪一种方式,都需要在客户端保存一些信息(Session ID或Token),并要求客户端在之后的每次请求中携带它们。在这样的场景下,使用Cookie无疑是最方便的,因此我们一般都会将Session的ID或 Token保存到Cookie中,当服务端收到请求后,通过验证Cookie中的信息来判断用户是否登录。
子域名的网站如何实现域名的账户互通
05-05 704
例如,用户在主域名登录后,子域名可以通过这些协议验证用户的身份,从而无需重新登录。用户登录主域名后,系统生成一个JWT,并将其存储在Cookie或其他本地存储中。当用户访问子域名时,可以携带这个JWT进行身份验证,由子域名验证JWT的有效性。子域名可以访问这个存储系统来验证用户会话,实现账户信息的共享。这样,当用户访问子域名时,浏览器会发送相同的Cookie,从而实现会话共享。实现这些技术时,需要注意保护用户的安全,防止会话劫持跨站点请求伪造(CSRF)等安全风险。
cookie在不同域名domain、path下的读取规则
weixin_34405925的博客
04-24 1853
cookie 子域名可以读域名中的cookie 如在 .ping.com下注入cookie,则该子下的网页如p1.ping.com、p2.ping.com 都能读取到cookie信息 path的读取规则上面一样 转载于:https://www.cnblogs.com/lydialee/p/6755294.html...
总结一下顶域名域名之间的cookie共享相互修改、删除
weixin_33756418的博客
09-18 1745
最近项目中刚好涉及到了主域名子域名之间的共享相互修改、删除,也就借此机会总结一下常用的几个场景,这里代码以PHP为例来说明,域名的话就拿顶域名域名为例,其他的场景都是类似哈! 设置COOKIE域名域名只能设置domain为顶域名,不能设置为二域名或者三域名等等,否则cookie无法生成。 如yangbai.c...
cookie的作用
betterangela的博客
10-13 4607
cookie的作用 cookie有一个很重要的概念,就是cookie的作用。 1.首先,cookie的作用为当前及其子。2.那发起http请求时,浏览器能传过去的是种在自己上的cookie。 即,假设发起请求的域名是a.qq.com,那如果cookie-xxx是种在qq.com上的,则该cookie就可以被a.qq.com或者b.qq.com或者qq.com发起的请求所使用; 等于是说发起请求时,能拿到的是自己上的cookie。 这就是为什么我们首先要去qq站或者woa
java中自定义设置cookie(设置同解决跨获取值得问题
zcm937166934的博客
07-03 1804
1.先在web环境下任意地方获取request,response,session,备用 ServletUtils.java import java.io.IOException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.serv...
Java WebCookie的原理操作详解
例如,若设置`cookie.setPath("/shop")`,则只有访问`/shop`及其子路径的资源时才会发送该Cookie,增强了安全作用范围控制。 此外,还可以通过`setDomain(String domain)`限制Cookie的作用到特定域名,支持跨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值