理解cookie的path和domain属性

最新推荐文章于 2024-08-19 08:28:30 发布
转载 最新推荐文章于 2024-08-19 08:28:30 发布 · 791 阅读 · 1

   今天在做验证码时发现一个问题:A、B窗口都打开同一个页面,A先生成一个验证码,B再生成验证码,这时A所生成的验证码被B覆盖掉了。原因是使用了同名的cookie来存储验证码。一时找不到解决方法就参考了WebQQ的登录画面,发现tx也没有解决这个问题,也许是觉得这个不算是问题吧。但还是借这个机会再次了解一下cookie好了。

  下面是在网上学习一番后得到的总结(如有纰漏请指正):

  1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.test.com/test/test.aspx,那么domain默认为www.test.com。而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。

  2.path表示cookie所在的目录,asp.net默认为/,就是根目录。在同一个服务器上有目录如下:/test/,/test/cd/,/test/dd/,现设一个cookie1的path为/test/,cookie2的path为/test/cd/,那么test下的所有页面都可以访问到cookie1,而/test/和/test/dd/的子页面不能访问cookie2。这是因为cookie能让其path路径下的页面访问。

  3.浏览器会将domain和path都相同的cookie保存在一个文件里,cookie间用*隔开。

  4.含值键值对的cookie:以前一直用的是nam=value单键值对的cookie,一说到含多个子键值对的就蒙了。现在总算弄清楚了。含多个子键值对的cookie格式是name=key1=value1&key2=value2。可以理解为单键值对的值保存一个自定义的多键值字符串,其中的键值对分割符为&,当然可以自定义一个分隔符,但用asp.net获取时是以&为分割符。

浅析Cookie中的Pathdomain
12-12
Path – 路径。指定与cookie关联的WEB页。 值可以是一个目录,或者是一个路径。 如果//www.jb51.net/test/index.html 建立了一个cookie,那么在//www.jb51.net/test/目录里的所有页面,以及该目录下面任何子目录里的...
php setcookie(name, value, expires, path, domain, secure) 参数详解
12-19
`setcookie()` 函数是PHP中用于设置HTTP cookies的关键函数,它允许你在用户浏览器上存储信息,以便在后续请求中能够识别用户。...不过,考虑到隐私安全问题,应当谨慎处理存储在cookie中的数据。
Http Cookie 测试 Domain & Path
云淡风轻
02-10 2552
参考: http://blog.youkuaiyun.com/lijing198997/article/details/9378047 http://stackoverflow.com/questions/1062963/how-do-browser-cookie-domains-work Domain and Path 作用:定义Cookie的生效作用域,只有当域名路径同时满足的时候,浏览器才会将C
后台jAVA 无法清楚cookie,前台退出后cookie还在,需要刷新
蚁族的奋斗的博客
08-13 2994
后台设置域名的问题: 1.一开始设置域名为null 2.后来清楚时候是有了本地的域名比如(172.128.10.117或者localhost)不必配,所以删除不掉 最好本地开发的时候不用加域名(localhost),因为有的浏览器不识别这个域名...
GWT中如何获取session
lanshan_84的专栏
09-02 278
请在RemoteServiceServlet中使用HttpServletRequest request = getThreadLocalRequest();   请注意,在构造函数中获得不到request,翻到源码你会发现它在doPost事件中set了request。 ...
cookie中的pathdomain属性详解
12-07
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.jb51.net/test/test.aspx,那么domain默认为...2.path表示cookie所在的目录,asp.net默认为/,就是根目录。在同一个服务器上有目录如下:/te
EXT-GWT(GXT)的Cookie设置 && 部件(Component)的状态存储
荷意
09-01 179
Cookie设置 Ext类现在是default访问权限的,所以无法使用Ext.state.manager.setProvider(new CookieProvider());   现在,设置Cookie的方法是: StateManager.get().setProvider(new CookieProvider(path,expires,domain,secure ));   ...
GWT的例子
jeff技术博客
05-11 5579
http://roberthanson.blogspot.com/2006/06/trivial-gwt-example.html找了一个GWT RPC的例子,试着做了一下,效果挺好,呵呵.目录结构如下:./org/hanson/gwt/MyApplication.gwt.xml./org/hanson/gwt/public/MyApplication.html./org/hanson/g
asp.net 删除cookie
吴正清的专栏
08-24 2564
<br />今天做会员系统,用到了cookie,在安全退出时却怎么也退不出了,cookie的值始终存在!无论是用Expires设置其过期,还是clear()都不能达到退出的效果!删除 Cookie(即从用户的硬盘中物理移除 Cookie)是修改 Cookie 的一种形式。由于 Cookie 在用户的计算机中,因此无法将其直接移除。但是,可以让浏览器来为您删除 Cookie。该技术是创建一个与要删除的 Cookie 同名的新 Cookie,并将该 Cookie 的到期日期设置为早于当前日期的某个日期。当浏览器
$.cookie( ) 用法详细解析
IT大王_成长之路
04-04 3万+
Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。 例如购物网站存储用户曾经浏览过的产品列表,或者门户网站记住用户喜欢选择浏览哪类新闻。 在用户允许的情况下,还可以存储用户的登录信息,使得用户在访问网站时不必每次都键...
cookie domain
starwmx520的博客
06-06 423
cookie的设置访问是有同源限制的。 当然可以在主域名二级域名间共享cookie $.cookie('name','star',{ path:'/',domain:'ishangwo.cn' }) 设置时指定path为根,domain为XX.cn 这样aa.xx.cn bb.xx.cn下都可以访问了 设置完后,bb.xx.cn下的页面直接访问就可, 不必再设置其他。
Java CookieManager Cookie domain
dzkdxyx的专栏
11-03 1814
The Domain Attribute The Domain attribute specifies those hosts to which the cookie will be sent. For example, if the value of the Domain attribute is "example.com", the user agent will incl...
【浏览器】Cookies.set domain 是什么
日常问题bug解决、学习分享、个人杂谈等等随便写写哈哈哈
10-27 2537
总结来说,Cookies.set方法中的domain参数用于控制Cookie的可见性访问性,使得Cookie可以在指定的域名及其子域之间共享。
浏览器:跨域及解决方法
snow的博客
05-03 2万+
出于浏览器的限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个域的javascript脚本另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage IndexedDB2、无法接触非同源网页的 DOM。
cookiedomain属性
热门推荐
longgege001的博客
07-31 9万+
欢迎大家光临我的个人博客,详戳 https://545longgege.top/ 最近在改一个bug单时,有个问题涉及到了cookiedomain属性,大致场景是由于不同的服务页面出现了同名的cookie但是domain域不同,导致出现了不可思议的bug。于是查询与cookiedomain属性相关的资料并记录之。 1、什么是Cookie? Cookie是由W3C组织提出,最...
cookie
qq_43260366的博客
04-06 1446
cookie 是后端可以存储在用户浏览器中的小块数据!cookie 最常见用例包括用户跟踪,个性化以及身份验证。
Session Cooike配置下domainpath
weixin_44244934的博客
08-19 457
在限制 cookie 的发送方面确实有一定的相似性,但它们的侧重点不同。这两者一起工作,以更精细地控制 cookie 的发送接收。则是在这些域名下的哪些具体路径可以使用cookie。这两者一起帮助确保cookie的使用既安全又高效。的结合使用提供了一种方式,让开发者可以非常具体地控制哪些页面或服务可以设置或访问特定的cookie。更多地关注于哪些域名下可以使用cookie,而。
检查Cookiedomain/path属性 详细讲一下
最新发布
09-26
<think> 我们讨论的是如何检查Cookiedomainpath属性。在Web开发或使用HTTP客户端时,了解Cookie属性很重要,尤其是当Cookie没有按预期发送时。 以下方法适用于不同场景: ### 一、浏览器开发者工具查看(前端调试) 1. **Chrome/Edge/Firefox**: - 打开开发者工具(F12)→ `Application`(Chrome/Edge)或 `Storage`(Firefox) - 左侧选择 `Cookies` → 点击目标域名 - 右侧表格显示所有Cookie及其属性(含DomainPath) ![Chrome查看Cookie属性](https://example.com/cookie-devtools.png) [^1] 2. **控制台输出**: ```javascript // 输出当前页面可访问的所有Cookie及其属性 console.log(document.cookie); // 仅能访问非HttpOnly的Cookie(不显示属性) // 通过调试工具可查看完整属性 ``` ### 二、Python `requests` 库查看响应Cookie 当使用Python的`requests`库时,可以从响应对象中提取Cookie详情: ```python import requests res = requests.get('https://example.com/login') # 获取响应中的Cookie列表(包含domain/path属性cookies = res.cookies for cookie in cookies: print(f"Name: {cookie.name}") print(f"Domain: {cookie.domain}") # 可能为空(默认当前域名) print(f"Path: {cookie.path}") print(f"Expires: {cookie.expires}") print("------") # 示例输出: # Name: SESSION_ID # Domain: .example.com # Path: / # Expires: 1698765432 ``` > ℹ️ 注意:服务端返回的`Set-Cookie`头可能不指定domain,此时浏览器默认使用当前域名[^2] ### 三、命令行工具查看(cURL) 使用`cURL`的`-v`(verbose)模式可查看完整HTTP头: ```bash curl -I -v https://example.com/login ``` 在输出中查找: ``` < Set-Cookie: SESSION_ID=abc123; Domain=.example.com; Path=/; Secure; HttpOnly ``` ### 四、编程解析Set-Cookie头 手动解析响应头中的`Set-Cookie`(不推荐,优先用标准库): ```python headers = res.headers set_cookie_header = headers.get('Set-Cookie', '') # 简单分割示例(实际应使用http.cookies模块) parts = set_cookie_header.split(';') domain = next((p.split('=')[1] for p in parts if 'Domain' in p), None) path = next((p.split('=')[1] for p in parts if 'Path' in p), '/') # 默认根路径 ``` ### 关键结论 | 属性 | 默认值 | 说明 | |---------|----------------------|----------------------------------------------------------------------| | Domain | 当前访问域名 | 指定Cookie生效的域名(子域名可访问需设置`.example.com`)[^3] | | Path | `/` | 指定路径前缀,如`/api`则仅该路径下请求携带 | > ⚠️ **重要规则**: > - Cookie的`Domain`不能设置为顶级域名(如`.com`),否则会被浏览器拒绝 > - 如果服务端未显式设置`Domain`,浏览器默认使用**当前域名**(不包含子域名) §§相关问题§§ 1. 为什么子域名无法共享Cookie? 2. 如何设置跨子域名的Cookie? 3. Cookie的`SameSite`属性有什么作用? [^1]: Chrome开发者工具文档 [^2]: RFC 6265 HTTP状态管理机制 [^3]: 域名前加点表示包含子域名 </think> 要检查 Cookie 的 `domain` `path` 属性,可通过以下方法在不同场景下进行操作: --- ### 一、浏览器开发者工具(推荐) 1. **打开开发者工具** Chrome/Firefox/Edge 按 `F12` → 选择 `Application`(Chrome)或 `Storage`(Firefox)选项卡 ![开发者工具位置](https://example.com/devtools-location.png)[^1] 2. **查看 Cookie 属性** - 左侧导航栏选择 `Cookies` → 点击目标网站域名 - 右侧表格显示所有 Cookie 及其属性: - `Name`:Cookie 名称 - `Domain`:生效域名(例如 `.example.com` 表示包含子域名) - `Path`:生效路径(例如 `/api` 表示仅该路径下生效) - `Expires/Max-Age`:过期时间 ![Cookie属性查看](https://example.com/cookie-attributes.png)[^1] --- ### 二、Python 代码获取属性 使用 `requests` 库解析响应中的 Cookie: ```python import requests res = requests.get("https://example.com/login") # 遍历所有 Cookie 查看属性 for cookie in res.cookies: print( f"名称: {cookie.name}\n" f"域名: {cookie.domain}\n" # 生效域名 f"路径: {cookie.path}\n" # 生效路径 f"过期: {cookie.expires}\n" # 过期时间戳 "------" ) # 示例输出: # 名称: SESSION_ID # 域名: .example.com 👉 包含子域名 # 路径: /api # 过期: 1698765432 ``` --- ### 三、命令行工具检查 通过 `curl` 查看响应头中的 `Set-Cookie`: ```bash curl -I https://example.com/login ``` 输出示例: ``` Set-Cookie: SESSION_ID=abc123; Domain=.example.com; Path=/; Secure; HttpOnly ``` 👉 关键属性: - `Domain=.example.com`:对 `example.com` 及其子域名生效 - `Path=/`:对整个域名下的所有路径生效 --- ### 四、高级调试技巧 1. **验证 Cookie 发送条件** 在开发者工具的 `Network` 选项卡中: - 选择请求 → 查看 `Request Headers` 中的 `Cookie` 值 - 检查是否满足: - 当前域名匹配 `Domain` 属性 - 请求路径以 `Path` 属性开头 2. **域名匹配规则** | 服务端设置 | 生效范围 | 示例 | |---------------------|---------------------------|--------------------------| | `Domain=.example.com` | 主域+所有子域 | `api.example.com` ✅ | | `Domain=example.com` | 仅精确域名(不含子域) | `www.example.com` ❌ | | 未指定 `Domain` | 仅当前域名(不含子域) | `example.com` ✅ | 3. **PATH 匹配规则** | 设置值 | 请求路径 | 是否携带 Cookie | |----------|---------------------|----------------| | `/api` | `/api/users` | ✅ | | `/api` | `/dashboard` | ❌ | | `/` | 任意路径 | ✅ | --- ### 关键注意事项 1. **前端无法访问 HttpOnly Cookie** 标记为 `HttpOnly` 的 Cookie 不会在 `document.cookie` 中显示,仅能通过开发者工具查看[^2] 2. **子域名共享需特殊设置** 若需子域名共享 Cookie,服务端必须显式设置 `Domain=.example.com`(开头带点) 3. **默认值规则** - 未指定 `Domain`:**不包含子域名**(仅当前精确域名) - 未指定 `Path`:默认为 `/`(全站生效)[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值