开发避坑指南（4）：跨域请求中Session数据丢失的排查与修复方案

原创已于 2025-08-20 22:32:51 修改 · 280 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#java

于 2025-07-22 22:14:05 首次发布

避坑指南专栏收录该内容

71 篇文章

订阅专栏

异常信息

spring web项目，登录成功后，将用户信息存入session，然后跳转到后台首页再次查询用户信息，通过request.getSession().getAttribute(“userKey”)的方式获取session中的用户信息时，值为空。

异常分析

登录成功后，后端接口通过sendRedirect的方式在内部跳转到后台首页接口，刚开始以为是sendRedirect导致的session丢失，于是在跳转之前对url进行了encodeRedirectURL处理，如下

String encodedUrl = getResponse().encodeRedirectURL(CommonConstants.url);
getResponse().sendRedirect(encodedUrl);

当浏览器禁用Cookie时，该方法会在URL中自动附加;jsessionid=xxx参数（如/path;jsessionid=123），确保会话状态可跟踪‌。若Cookie已启用或无需编码，则返回原URL不变‌。

但是encodeRedirectURL之后还是获取不到。后来用Fiddler监控网络请求，发现跳转前的地址和跳转后的地址不一样，一个是Ip地址，一个是localhost，也就是跨域访问了。

由于浏览器对跨域请求进行了限制，尤其是涉及Session等敏感信息时，会阻止非同源请求访问其他域Session。这是同源策略（Same-Origin Policy）的安全机制，防止跨站攻击（如CSRF、钓鱼网站等）。

解决办法

将跳转前的地址和跳转后的地址改成一样（http协议、ip地址、端口一致），防止跨域访问。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

帧栈

关注关注

2
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

智能客服系统常见故障排查手册：AI架构师总结的12个高频问题及解决方法

移动开发前沿的博客

08-30

940

总结：全链路故障排查核心要点参考资料附录：故障排查速查表、工具命令清单。

跨域访问sessiono丢失问题说明及解决方法

anya的专栏

07-30

1695

由于Ie默认安全策略跨域访问时拒绝保留session，所以容易导致丢失。

参与评论您还未登录，请先登录后发表或查看评论

iframe跨域访问时session丢失

07-13

NULL 博文链接：https://thoreau.iteye.com/blog/745100

跨域访问时Session丢失

tjbmx0987的专栏

11-11

662

我目前在做一个电子购物网站。这个网站对应着不同的国家，将会有不同的域名。比如，对英国会是www.xxx.com.uk，对中国可能是www.xxx.com.cn。但是，在涉及到支付时，都会转向一个地址：https://checkout.xxx.com。这些不同的域名，实际上是指向同一台服务器的同一个Server。在实际使用中，由于域名不同，但又需要跨域访问。主要应用场景是，客户在英国的购物...

session 丢失 java_跨域造成session丢失

weixin_29172963的博客

02-21

465

所以到现在都没有解决方案么。。update我解决了。后端是Java springboot，前端是angular，跨域json通信。cors方式，配置一个corsfilter，代码如下：package xxxxxx.component;import org.springframework.beans.factory.annotation.Value;import org.springframewor...

ajax 跨域 session 丢失问题

zjjcchina的博客

04-08

1075

ajax 跨域时session丢失了！！！解决方法：首先我 Google 了一下这个问题的原因，我找到了这个：（1）Access-Control-Allow-Origin该字段是必须的。它的值要么是请求时Origin字段的值，要么是一个*，表示接受任意域名的请求。（2）Access-Control-Allow-Credentials该字段可选。它的值是一个布尔值，表示是否允许发送Cookie。默认情况下，Cookie不包括在CORS请求之中。设为true，即表示服务器明确许可，Cookie可

解决任何跨域访问请求session丢失问题

MaYuKang的博客

06-30

5567

跨域请求的场景有很多种，多模块项目之间端口号不同，前后端分离之间的请求，jsonp远程接口的调用，iframe的嵌套等等。导致session丢失的原因也有很多，大致有spring security、shiro等安全框架的拦截，自定义过滤器的拦截、不同浏览器内核版本的限制，服务器的配置等等，首先要确认自己遇到这个问题是什么原因导致的，再去做相

Citrix环境中柯尼卡美能达C368驱动映射异常的解决方案：UPD与本地驱动协同配置（生产环境已验证）

在Citrix虚拟化环境中，打印机驱动映射异常是影响用户体验与运维效率的典型难题，尤其在多厂商打印设备共存场景下更为突出。本文以柯尼卡美能达C368驱动兼容性问题为切入点，系统分析Citrix打印子系统架构、通用打印...

【Windows Server 2016域控全能指南】：从搭建到优化的10大必备技能

![【Windows Server 2016域控全能指南】：从搭建到优化的10大必备技能]...在维护与故障排除章节，强调了日常任务、问题诊断方法和系统健康检查的重要

KiCad与外部工具集成：Git版本控制协同开发的5大最佳实践（团队开发必备）

![KiCad与外部工具集成：Git版本控制协同开发的5大最佳实践（团队开发必备）]...通过集成Git等版本控制系统，不仅可实现设计历史的完整追踪，还能支持多人协同、分支开发与自动化验证。尤其在硬件迭代周期长、变更影响

ESP32 + AWS IoT Core 安全接入全流程：双向认证与X.509证书部署终极指南

本章将引出ESP32与AWS IoT Core之间基于X.509证书和TLS双向认证的安全通信架构，阐述该体系如何保障设备身份可信、数据传输加密及服务端反向验证。后续章节将深入解析底层密码学机制与工程实现细节，为构建生产级...

解决springboot实现跨域session共享问题

01-25

解决springboot实现跨域session共享问题，防止sql注入。可以更有效的解决token问题，欢迎下载，有问题可以再评论下方留言，及时解答！！加群：687942640

解决前后端分离 vue+springboot 跨域 session+cookie失效问题

10-17

主要介绍了前后端分离 vue+springboot 跨域 session+cookie失效问题的解决方法，解决过程也很简单 ,需要的朋友可以参考下

解决前后端分离跨域产生的session丢失问题

weixin_73687229的博客

12-10

3136

现在大部分项目都采用的前后端分离，比如后端用spring boot，SSM ,前端用vue等。那么就有一个问题存在，一般用户登录过后，后面的操作会根据当前登录的用户id进行操作，所以说，我们需要将当前用户的信息（或者说id）进行存储想象一下，你去了一个图书馆，每次你进去，图书管理员会给你一个专属的储物柜，你可以把你的东西放进去。这个储物柜就像是你的“Session”。当你需要借书或者还书时，你只需要出示你的储物柜钥匙（Session ID），图书管理员就能帮你处理事务，而不需要每次都重新登记你的信息。

web跨域访问，session丢失的问题

weixin_30588907的博客

11-16

437

web跨域访问，session丢失的问题25 http://www.iteye.com/problems/71265 http://www.iteye.com/topic/264079 具体情况如下：现有项目A和项目B, 项目A中有项目B的一个链接,点击此链接传递过去用户名和密码登陆到B项目中去,此时B项目作为A项目的一个页面出现,第一次点击链接时操作没有问题,当返回来点击A项目链接时提示...

关于jquery的ajax跨域请求丢失session数据

业余前端的职业经历

10-19

716

function ajax(){ $.ajax({ url:'http://127.0.0.1:5050/admin/', datatype:'json', type:"get", xhrFields:{withCredentials:true}, success:function(data){ ...

跨域引起的session失效

weixin_42202352的博客

07-06

1868

业务场景解决方式总结业务场景场景1、 A系统原来访问B系统，之前是通过nginx前端配置的跨域方式访问（验签），然后再经B系统重定向到nginx中的前端指定页面；此时的访问链接形式如： http://a.com/a/b?redirectUrl=http://a.com/index.html 场景2、后来由于业务需求，需要使用A-系统需要使用https来访问B系统，在不能影响A系统访问B的前提下申请了LB（loadbalance）通过LB的https负载到nginx的域名上a.com，此时的

解决跨域访问session丢失问题

rendiqi的博客

08-27

3857

问题：前后端两个项目，前段访问后端api，前段用angularjs 后端用的express，设置res.header("Access-Control-Allow-Origin", “*”)；可以跨域访问，正常查询数据库返回。但是遇到有权限检查的api就不行，一直提示需要登陆。搜了下资料，是因为跨域问题，每次get或post server都会新建session，而权限检查是基

springboot解决ajax跨域访问，session丢失的问题

u010227042的博客

09-26

2300

1、前端ajax $.ajax({ url: url, type: 'post', xhrFields: {withCredentials:true}, //前端适配：允许session跨域 data: data, success: function(data) { } }); ajax加上这两句 xhrFields: {withCredentials:true}, //...

Flask 中跨域请求时 session 丢失的完整解决方案是什么？

最新发布

11-14

<think> 我们正在处理用户关于Flask跨域请求时session丢失的问题。根据提供的引用和之前的知识，我们将构建一个完整的解决方案。下面将分步骤解释原因和解决方法。 ### 问题原因 Flask的session默认使用签名的cookie存储在客户端。但在跨域请求时，由于浏览器的同源策略，默认不会发送cookie（包括session的cookie），导致服务器无法识别用户session，因此出现session丢失（如userid变为None）。 ### 解决方案 #### 1. 后端配置CORS（关键步骤）在Flask后端，必须使用`flask-cors`扩展配置允许跨域请求并支持凭证（credentials）。根据引用[1]中的配置，我们还需要注意session的存储设置（如使用redis）。 **安装依赖：** ```bash pip install flask-cors ``` **后端代码示例：** ```python from flask import Flask from flask_cors import CORS app = Flask(__name__) # 关键配置：允许跨域且支持凭证 CORS(app, supports_credentials=True) # 全局配置 # 或者针对特定路由 # cors = CORS(app, resources={r"/api/*": {"origins": "*", "supports_credentials": True}}) ``` #### 2. 确保Session配置正确（使用redis存储session）根据引用[1]，在`settings/dev.py`中已经配置了session存储到redis。确保以下配置正确： ```python SESSION_TYPE = 'redis' # 使用redis存储session SESSION_PERMANENT = False # 关闭浏览器session失效 SESSION_USE_SIGNER = False # 是否对cookie签名（可选，若开启需设置SECRET_KEY） SESSION_KEY_PREFIX = 'session:' # 存储前缀 SESSION_REDIS = redis.Redis(host='127.0.0.1', port='6379') # 连接redis ``` 在Flask应用初始化时，需要加载这些配置并初始化`Session`： ```python from flask import Flask from flask_session import Session app = Flask(__name__) app.config.from_object('settings.dev.DevConfig') # 加载配置 Session(app) # 初始化Session ``` #### 3. 前端请求携带凭证（以Axios为例）前端在发送跨域请求时，必须设置`withCredentials: true`，这样浏览器才会携带cookie。 **示例：** ```javascript axios.get('http://localhost:5000/api/data', { withCredentials: true }) ``` #### 4. 检查响应头设置后端响应必须包含允许凭证的头部。使用`flask-cors`后，会自动设置以下响应头： - `Access-Control-Allow-Origin: <具体域名>`（注意：不能为`*`，必须是具体的域名，因为使用凭证时不允许通配符） - `Access-Control-Allow-Credentials: true` #### 5. 避免浏览器安全策略阻止确保前端页面所在的域名与后端允许的域名一致。例如，如果前端运行在`http://localhost:3000`，则后端配置应为： ```python CORS(app, resources={r"/*": {"origins": "http://localhost:3000", "supports_credentials": True}}) ``` ### 完整代码示例 **后端（app.py）:** ```python from flask import Flask, session, jsonify from flask_cors import CORS from flask_session import Session import redis app = Flask(__name__) app.config['SECRET_KEY'] = 'your_secret_key' app.config['SESSION_TYPE'] = 'redis' app.config['SESSION_REDIS'] = redis.Redis(host='localhost', port=6379) app.config['SESSION_PERMANENT'] = False app.config['SESSION_USE_SIGNER'] = False app.config['SESSION_KEY_PREFIX'] = 'session:' # 配置CORS，允许跨域且支持凭证 CORS(app, supports_credentials=True, origins="http://localhost:3000") # 替换为前端域名 Session(app) @app.route('/set_session') def set_session(): session['userid'] = '12345' return jsonify({'status': 'success'}) @app.route('/get_session') def get_session(): userid = session.get('userid', 'None') return jsonify({'userid': userid}) ``` **前端（React示例）:** ```javascript import axios from 'axios'; // 设置全局携带凭证 axios.defaults.withCredentials = true; // 请求示例 axios.get('http://localhost:5000/set_session') .then(response => { console.log(response.data); }); axios.get('http://localhost:5000/get_session') .then(response => { console.log('userid:', response.data.userid); // 应输出12345 }); ``` ### 常见问题排查 1. **浏览器控制台报错**：如`Access-Control-Allow-Origin`不能为`*`，需指定具体域名。 2. **响应头缺失**：确保响应头包含`Access-Control-Allow-Credentials: true`。 3. **前端未设置`withCredentials`**：检查前端请求是否设置正确。 4. **后端session配置错误**：检查redis是否运行，并确认session配置正确加载。 ### 总结解决Flask跨域session丢失的关键点： - 后端使用`CORS(app, supports_credentials=True)`并指定具体域名。 - 前端设置`withCredentials: true`。 - 确保session存储配置正确（如redis连接）。通过以上步骤，跨域请求中的session应能正常保持[^1][^3]。 §§相关问题§§ 1. 如何配置Flask-Session使用Redis存储？ 2. 前端使用fetch API时如何携带凭证？ 3. 如何解决CORS策略中Access-Control-Allow-Origin不允许使用通配符的问题？ </think> ## Flask跨域请求时Session丢失问题的完整解决方案在Flask应用中解决跨域请求时的Session丢失问题，需要同时配置后端和前端，以下是完整解决方案： ### 一、后端配置（Flask） #### 1. 启用CORS并支持凭证 ```python from flask_cors import CORS app = Flask(__name__) # 关键配置：允许跨域且支持凭证 CORS(app, supports_credentials=True) ``` #### 2. 正确配置Session存储（推荐Redis） ```python import redis from flask_session import Session app.config['SESSION_TYPE'] = 'redis' # 使用Redis存储session app.config['SESSION_REDIS'] = redis.Redis(host='127.0.0.1', port=6379) app.config['SESSION_COOKIE_SAMESITE'] = 'None' # 允许跨站传递Cookie app.config['SESSION_COOKIE_SECURE'] = True # 仅HTTPS传输 app.config['SESSION_COOKIE_HTTPONLY'] = True # 防止XSS攻击 app.config['SECRET_KEY'] = 'your_strong_secret_key' # 设置强密钥 Session(app) ``` #### 3. 显式设置响应头 ```python @app.after_request def add_cors_headers(response): response.headers['Access-Control-Allow-Origin'] = 'http://your-frontend-domain.com' response.headers['Access-Control-Allow-Credentials'] = 'true' response.headers['Access-Control-Allow-Headers'] = 'Content-Type' response.headers['Access-Control-Allow-Methods'] = 'GET, POST, OPTIONS' return response ``` ### 二、前端配置（以Axios为例） #### 1. 设置全局携带凭证 ```javascript // Axios全局配置 axios.defaults.withCredentials = true; ``` #### 2. 请求时显式设置凭证 ```javascript axios.get('http://api.yourdomain.com/data', { withCredentials: true // 确保每个请求都携带凭证 }) ``` ### 三、关键配置说明表 | 配置项 | 后端 | 前端 | 作用 | |--------|------|------|------| | 凭证支持 | `supports_credentials=True` | `withCredentials=true` | 允许跨域传递Cookie | | Cookie策略 | `SESSION_COOKIE_SAMESITE='None'` | - | 允许跨站使用Cookie | | 安全传输 | `SESSION_COOKIE_SECURE=True` | - | 确保HTTPS传输Cookie | | Session存储 | `SESSION_TYPE='redis'` | - | 持久化Session数据 | | 来源限制 | `Access-Control-Allow-Origin` | - | 指定允许的请求来源 | ### 四、常见问题排查 1. **Cookie未发送**： - 确保前端设置 `withCredentials: true` - 检查浏览器Network面板是否包含 `Cookie` 请求头 2. **Session不持久**： - 确认Redis服务正常运行 - 检查Session配置是否正确加载 ```python print(app.config['SESSION_REDIS']) # 验证Redis连接 ``` 3. **跨域策略错误**： - 确保 `Access-Control-Allow-Origin` 是具体域名而非 `*` - 验证 `Access-Control-Allow-Credentials: true` 响应头存在 4. **HTTPS要求**： - 本地开发使用 `http://localhost` 时可暂时关闭安全设置 - 生产环境必须使用HTTPS并启用 `SESSION_COOKIE_SECURE` ### 五、完整工作流程验证 1. 前端发送登录请求 → 设置凭证标志 2. 后端响应 → 设置Session并返回Set-Cookie 3. 后续请求 → 浏览器自动附加Cookie 4. 服务端 → 通过Session ID恢复用户会话 > 关键点：跨域Session需要前后端协同配置，任何环节缺失都会导致Session失效[^1][^3]。