关于禁用Cookie的问题以及解决办法

最新推荐文章于 2025-05-03 12:16:02 发布
最新推荐文章于 2025-05-03 12:16:02 发布
阅读量3.4w 收藏 42
点赞数 12
CC 4.0 BY-SA版权
分类专栏: JavaWeb 文章标签: cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cckevincyh/article/details/52494014

Cookie与 Session,一般认为是两个独立的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢?因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到Session了。

如何禁用cookie?

  1、启动IE;
  2、在“工具”菜单上,单击“Internet选项”,打开“Internet选项”对话框;
  3、单击“隐私”选项卡,将滑块上移到更高的隐私级别。如果移动到最顶端则是选择“阻止所有的Cookie”,此时系统将阻止所有网站的Cookie,而且网站不能读取计算机上已有的Cookie;
  4、单击“确定”按钮。

sessionid是存储在cookie中的,解决方案如下:
Session URL重写,保证在客户端禁用或不支持COOKIE时,仍然可以使用Session

session机制。session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。

当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识(称为session id),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(检索不到,会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。 保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于 SEEESIONID。但cookie可以被人为的禁止,则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。 经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。

【URL重写的示例】

package session;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class WelcomeServlet extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");
        PrintWriter out = response.getWriter();

        request.getSession();

        String url1 = response.encodeURL("/Session/servlet/SessionDemo1");//禁用cookie才重写,注意禁用cookie后,访问要用127.0.0.1,不能用localhost
        String url2 = response.encodeURL("/Session/servlet/SessionDemo2");
        //禁用cookie之后无法解决关闭浏览器能重新访问的问题。
        out.println("<a href='"+url1+"'>购买  </a>");
        out.println("<a href='"+url2+"'>结账</a>");
    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }

}

package session;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
//购买 index.jsp index.html
//session基于cookie
public class SessionDemo1 extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        HttpSession session = request.getSession(); //Session创建
        //request.getSession(false);    //不创建session,只获取session  例如:显示购物车

        //解决浏览器关闭后cookie销毁的问题:
        String sessionid = session.getId();
        Cookie cookie = new Cookie("JSESSIONID",sessionid);
        cookie.setPath("/Session");
        cookie.setMaxAge(30*60);
        response.addCookie(cookie);

        session.setAttribute("name", "洗衣机");
        //30分钟没使用之后(不管有无关闭浏览器),Session才销毁(默认,可控制时间)
        //配置方法:在web.xml文件中配置<session-config>里面配置一个<session-timeout>并且设置时间值
        //代码摧毁方法:session.invalidate();
    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }

}


----------


//解决浏览器关闭后session销毁的问题:
String sessionid = session.getId();
Cookie cookie = new Cookie("JSESSIONID",sessionid);
cookie.setPath("/Session");
cookie.setMaxAge(30*60);
response.addCookie(cookie);

【解决浏览器关闭后session销毁的原因】:
sessionId是一个cookie,max-age默认为-1,即关闭浏览器后sessionId就会清空 
sessionId(cookie)清空后,自然就无法找到对应的session,所以session就失效了

【解决方法】:
设置上述代码,添加cookie的失效时间,
        30分钟没使用之后(不管有无关闭浏览器),Session才销毁(默认,可控制时间)
        其他session失效时间配置方法:在web.xml文件中配置<session-config>里面配置一个<session-timeout>并且设置时间值
        代码摧毁方法:session.invalidate();



----------


package session;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
//结账
public class SessionDemo2 extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");
        PrintWriter out = response.getWriter();

        HttpSession session = request.getSession();
        String product = (String)session.getAttribute("name");
        out.write("你购买的商品是:"+product);

    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }

}

  URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(String url)实现URL地址重写,该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中。

  注意:TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。

禁用Cookie后,Session还能用吗?揭秘3种解决方案
java专栏
12-08 731
通过本文的详细介绍,你应该已经明白了为什么禁用Cookie后,Session仍然可以使用。通过URL重写、隐藏表单字段或使用Token + LocalStorage等方法,我们可以在客户端禁用Cookie的情况下,继续保持用户的会话状态。希望这篇文章对你有所帮助!如果有任何问题或建议,欢迎在评论区留言交流!😊✨。
教你如何禁用Cookie
好姑娘 的专栏
11-04 1424
 Cookie实际上是一些小的数据包,里面包含着关于你网上冲浪习惯的信息,可以方便你以后的操作,但随后就为因特网上了解Cookie的站点所知。正因如此,我们还是有必要学会禁用Cookie,以保证上网的安全。以下给大家介绍禁用Cookie的三种方法,你可根据需要选择使用。       一、IE选项法       1、启动IE;        2、在"工具"菜单上,单击"Internet选项"
前端vue项目发送请求不携带cookie(vue.config.js和nginx反向代理)
黎小小的博客
01-05 4333
本来发现问题,是因为后台记录到接收到的sessionId一直在变化,导致需要在同一个sessionId下处理的逻辑无法实现。后来才发现前端发的请求都没有带cookie,就是这里,我的之前是不带这个Cookie的。接口文件api.js中设置每次携带cookie
cookie禁用
热门推荐
李昆鹏的博客
07-30 1万+
------------------------------- cookie禁用------------------------------------- Cookie禁用处理 默认情况下浏览器的cookie是被启用的,但是其实我们是可以手动的禁用cookie的,强烈不建议禁用cookie Cookie一旦被禁用掉绝大多数互联网的网站都无法登录,这个跟我们后续要讲解的session有...
HTTPcookiesession实现
最新发布
2302_80378107的博客
05-03 1292
(也称为Web Cookie、浏览器Cookie或简称Cookie)是服务器发送到用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。工作原理。
html 禁用cookie,在Android浏览器中禁用cookie无法正常工作
weixin_35780601的博客
06-05 485
我正在运行Android Honeycomb 3.2.1,我无法让浏览器停止接受cookie.我有以下代码:first.html:setCookie('testing','test cookie',365);window.location.href = 'second.html';second.html:var temp = getCookie('testing');alert(temp);coo...
浏览器禁用cookie
longxiaobin00的博客
08-05 188
http://www.blogjava.net/cheneyfree/archive/2007/05/26/120168.html 可以跨多个请求保存会话状态,与一个特定可和的整个会话期间, HttpSession 对象会持久存储。 在响应中发送一个会话: HttpSession session=request.getSession();// 等价于 request.getSessio...
cookie禁用怎么办?
qq_33666107的博客
12-25 1288
php.ini 里面设置,让每个链接携带客户的cookie 通过跳转传递cookie
java中Cookie禁用Session追踪问题
08-31
Java 中 Cookie禁用Session...Java 中 Cookie禁用Session 追踪问题可以通过使用 encodeURL 或 encodeRedirectURL 方法来解决,这些方法可以确保服务器端可以获取 JSESSIONID 信息,从而实现 Session 追踪。
OkHttp3中默认不保持Cookie的解决方法
08-27
总之,解决OkHttp3默认不保持Cookie问题,关键在于创建一个自定义的`CookieJar`实现,并在`OkHttpClient`的构建过程中使用它。这样,既能确保Cookie的正确保存,也能在请求中正确地发送它们,从而保持用户的会话...
解决Android webview设置cookiecookie丢失的问题
08-19
解决Android webview设置cookiecookie丢失的问题 Android webview是一个非常常用的技术,然而在使用中经常会遇到cookie丢失的问题,导致登陆失败等情况。今天,我们将探索解决Android webview设置cookiecookie...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
关于Session失效的问题,前后端分离后,由于Vue与Spring Boot不在同一个域下,浏览器不会在跨域请求中发送Session Cookie。为了解决这个问题,一种常见的方式是采用Token认证机制,如JWT(JSON Web Tokens)。但是,...
禁用Cookie功能的几种方法
03-04
Cookie实际上是一些小的数据包,里面包含着关于你网上冲浪习惯的信息,可以方便你以后的操作。有必要学会禁用Cookie,以保证上网的安全。本文介绍了禁用Cookie的三种方法,你可根据需要选择使用。
在浏览器设置中,如何禁用或启用Cookie
xiaoyaozi2020的博客
05-23 7594
转自:http://www.weidianyuedu.com/content/5911905770538.html 什么是cookiecookies是存储在计算机内的小文件,可以改善用户的浏览体验。Cookie包含用户访问的网站的信息。每次尝试重新访问网页时,操作系统都会引用该网页并很快打开网页。关于cookie的一般误解是它们对计算机有害但事实并非如此。真实和知名网站保存在本地硬盘驱动器上的许多cookie都是无害的,并且还保留了用户的身份验证信息,从而无需在登录网站时重新输入登录账户信息。但是,有一
面试官:页面开发当中把cookie禁用了,session里面的内容怎么使用(找到)???
hpf_coding的博客
06-23 393
正常使用cookie的情况   session.set(a,b)→jsessionid→cookie→每次发请求携带该值 每一个用户都有一个不同的sessionid,我们称之为jsessionid,jsessionid会被保存在cookie里面,我们用户在发送请求的时候都会携带cookie禁用cookie的情况   假设访问路径/abc,我们可以用矩阵变量的形式携带jsessionid值: /abc;jsessionid=xxx。 上面的过程就是url重写的过程。 把cookie的值使用矩阵变量的方式进
浏览器禁用cookies_禁用Cookie功能的方法
weixin_35231615的博客
01-14 6337
随着网络安全知识的普及,越来越多的用户知道了Cookie功能会造成用户的隐私泄露,Cookie实际上是一些小的数据包,里面包含着关于你网上冲浪习惯的信息,可以方便你以后的操作,但随后就为因特网上了解Cookie的站点所知。正因如此,我们还是有必要学会禁用Cookie,以保证上网的安全。以下笔者介绍禁用Cookie的三种方法,你可根据需要选择使用。一、IE选项法1、启动IE;2、在“工具”菜单上,单...
cookie禁用,如何保证session的正常使用
weixin_41247508的博客
06-12 1568
最近面试被问到cookie禁用,如何保证session的正常使用。之前看过网上的博客,session的读取主要依赖于服务端传递给浏览器设置到cookie的jsesionid,cookie禁用后, 解决方式有两种(分别是表单隐藏域和url重写),今天我们来测试一下两种方式看下是否都可行 测试第一种表单隐藏域的方式: 上java代码 package com.lishu.demo.cookie.test; import org.springframework.stereotype.Controller; im
Session中禁止使用Cookie
weixin_30660027的博客
10-22 111
Session中禁止使用Cookie既然WAP上大部分的客户浏览器都不支持Cookie,索性禁止Session使用Cookie,统一使用URL地址重写会更好一些。Java Web规范支持通过配置的方式禁用Cookie。下面举例说一下怎样通过配置禁止使用Cookie。打开项目sessionWeb的WebRoot目录下的META-INF文件夹(跟WEB-INF文件夹同级,如果没有则创建),打开cont...
微服务中禁用cookie解决方案
yu15163158717的博客
12-15 774
第一种方案:提示用户不能禁用cookie 第二种方案:把后端生成的token放入响应头中返给前端,前端获取头信息存入web存储,每次请求都需要手动携带token,写入头中...
如何解决Doccano中CSRF cookie not set的问题
04-01
<think>好的,我现在需要解决用户在使用Doccano时遇到的“CSRF cookie not set”问题。根据用户提供的引用内容,这个问题通常与Django的CSRF中间件有关。首先,我应该回忆一下Django中CSRF保护的工作原理。Django的CSRF保护通过检查POST请求中的CSRF token来防止跨站请求伪造攻击,而如果中间件未正确配置或前端未正确发送token,就会出现这个错误。 用户提供的引用中提到几种解决方法,比如注释掉中间件里的CsrfViewMiddleware,或者使用csrf_exempt装饰器。但需要注意的是,这些方法会禁用CSRF保护,可能存在安全风险。不过,用户是在使用Doccano,这可能是一个特定情况下的配置问题,可能需要调整Doccano的设置而非直接修改Django中间件。 接下来,我需要考虑Doccano的具体情况。Doccano是基于Django开发的,所以用户可能需要在Doccano的配置文件中进行相应调整。根据引用[3]和[5],注释掉中间件中的CsrfViewMiddleware可能有效,但需要确认Doccano的settings.py位置。或者,如果用户希望保留CSRF保护,可能需要确保前端在请求中包含CSRF token,比如在请求头中添加X-CSRFToken,并确保cookie被正确设置。 另外,引用[4]提到使用csrf_exempt装饰器来豁免某个视图的CSRF检查,但这种方法不适用于所有情况,尤其是当多个视图需要处理时。对于Doccano来说,可能需要找到相关视图并应用此装饰器,但这可能涉及修改Doccano的源代码,不太推荐。 用户的问题可能出现在测试或部署环境中,比如使用Postman测试时未携带CSRF token。这时候需要确保在发送POST请求时,先获取CSRF token,并在后续请求中携带它。或者,如果Doccano作为API服务,可能需要配置为使用SessionAuthentication或其他认证方式,而不是依赖CSRF。 可能的解决方案步骤包括:检查Doccano的中间件配置,确保CSRF中间件未被注释;配置前端正确发送CSRF token;或者在部署时调整反向代理设置,确保cookie被正确传递。此外,如果是跨域请求,还需要配置CORS相关设置,并处理CSRF token的携带方式,比如使用withCredentials选项。 需要注意的是,直接禁用CSRF保护可能存在安全隐患,因此应优先考虑正确配置CSRF token的传递方式。如果用户无法修改前端代码,可能需要暂时禁用中间件作为临时解决方案,但应尽快恢复以保障安全。 综上所述,解决方案可能包括修改Doccano的settings.py文件注释掉中间件,或者配置前端正确包含CSRF token。需要根据具体情况选择合适的方法,并提醒用户注意安全风险。</think>### Doccano中CSRF cookie未设置的解决方案 Doccano是基于Django开发的标注工具,出现`CSRF Failed: CSRF cookie not set`错误通常与Django的CSRF保护机制相关。以下是逐步解决方案: --- #### **1. 临时禁用CSRF中间件(不推荐用于生产环境)** **步骤**: - 打开Doccano的Django配置文件`settings.py`(通常位于项目根目录或`app`子目录中)。 - 注释掉`MIDDLEWARE`中的`django.middleware.csrf.CsrfViewMiddleware`: ```python MIDDLEWARE = [ # ...其他中间件 # 'django.middleware.csrf.CsrfViewMiddleware', # 注释此行 # ...其他中间件 ] ``` **注意**:此方法会关闭CSRF保护,存在安全隐患,仅建议用于测试环境[^3][^5]。 --- #### **2. 豁免特定视图的CSRF检查(需修改代码)** 如果问题仅出现在某些API或视图: - 在视图函数或类上添加`@csrf_exempt`装饰器: ```python from django.views.decorators.csrf import csrf_exempt from django.http import JsonResponse @csrf_exempt def your_view(request): return JsonResponse({"status": "success"}) ``` 但需注意,直接修改Doccano源码可能影响后续升级[^4]。 --- #### **3. 正确配置前端请求(推荐)** 若通过浏览器或前端调用Doccano接口,需确保: 1. **获取CSRF Token**: - 首次访问页面时,Django会通过Cookie返回`csrftoken`。 2. **发送请求时携带Token**: - 在请求头中添加`X-CSRFToken`字段,值为Cookie中的`csrftoken`。 - 示例代码(JavaScript): ```javascript fetch("/api/endpoint/", { method: "POST", headers: { "X-CSRFToken": getCookie("csrftoken"), // 从Cookie读取 "Content-Type": "application/json" }, body: JSON.stringify({data: "test"}) }) ``` --- #### **4. 部署环境配置** 若使用Nginx或Apache反向代理,检查以下配置: - 确保请求头中携带`Cookie`和`X-CSRFToken`。 - 添加CORS配置(如跨域请求): ```nginx location / { proxy_set_header X-CSRFToken $http_x_csrftoken; add_header Access-Control-Allow-Credentials true; add_header Access-Control-Allow-Origin $http_origin; } ``` --- #### **5. 检查Django版本与依赖** 部分Django版本可能存在兼容性问题,建议升级到稳定版本: ```bash pip install django --upgrade ``` --- ### 相关问题 1. **如何验证CSRF Token是否生效?** 可通过浏览器开发者工具查看请求头是否包含`X-CSRFToken`及响应是否返回`Set-Cookie`字段[^1][^2]。 2. **Django中CSRF保护的原理是什么?** 通过对比Cookie中的Token和请求体/头中的Token是否一致,防止跨站伪造请求[^1]。 3. **禁用CSRF中间件后如何保证接口安全?** 可结合JWT认证、IP白名单或HTTPS加密通信[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值