cookie跨域的问题

最新推荐文章于 2024-01-09 10:52:15 发布
最新推荐文章于 2024-01-09 10:52:15 发布
阅读量950 收藏
点赞数
分类专栏: HTML web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gscaiyucheng/article/details/39212015
版权
本文通过实验探讨了Cookie的跨域问题,指出当Cookie属于特定域名时,无论请求的端口号或协议如何变化,只要请求的是同一域名或其子域名,Cookie都会被带上。先使用HTTP请求后再切换到HTTPS,或反之,Cookie都会在请求中传递。这解释了为何某些网站仅在登录注册时使用HTTPS,但后续HTTP请求仍能携带加密的会话令牌。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天亲自实验了下:

发现如果一个cookie属于XX域名,那么只要是请求同一个域名或者其子域名,不管端口号是多少,什么协议,都会在请求中把这个域名的cookie带上。

1.先用HTTP请求,再用HTTPS(实验中的cookie是通过js代码给document.cookie赋值生成的,实验环境IIS)


图1:www.a.com:8112


图2:www.a.com:8111

图3:https:www.a.com(https默认443端口)

可以看出来这个cookie在请求同一个域名不同的端口时,都会附带上。

2.先用HTTPS请求,再用HTTP请求:

图4:先用HTTPS请求,响应中设置了cookie


图5:再用HTTP访问同样网页,会发现HTTPS中设置的cookie在http请求中会附带上

总结:

因此有的网站只在登录注册的时候采用HTTPS协议加密数据,返回的会话令牌cookie在之后使用HTTP协议访问同一个域名时仍然会附带。

同理相反在HTTP上附带的cookie会在使用HTTPS请求同一域名的时候附带上。

记一次通过Nginx解决Cookie问题的实现过程
asdasdsaff的博客
10-10 629
记一次通过Nginx解决Cookie问题的实现过程。分析Grafana鉴权逻辑,可通过后端模拟登录获取grafana_session,然后设置Cookie的方式实现免登录跳转。在本地使用Springboot编写了获取授权重定向方法后,跳转并不成功,会进入登录页面,没有实现免登录跳转。通过浏览器查询重定向至Grafana页面的请求状态码为302 Found,grafana_session授权信息也没有成功设置到Cookie中。
Cookie吗?如何设置?
小草莓的博客
11-09 8031
在以上代码中,fetch 请求中的 credentials 设置为 include,并且响应头中设置 Access-Control-Allow-Credentials 为 true,就可以实现 Cookie访问。对于请求,在客户端需要明确指定携带 Cookie,可以通过 XMLHttpRequest 对象或 Fetch API 的 credentials 属性进行设置。在一般情况下,Cookie 是不允许的。设置 Cookie 只能在响应中设置,而不能在请求中设置。
CookieCookie简介以及问题
Ez4Sterben的博客
06-29 4075
cookie是由网络服务器存储在你电脑硬盘上的一个txt类型的小文件,它和你的网络浏览行为有关,所以存储在你电脑上的cookie就好像你的一张身份证,你电脑上的cookie和其他电脑上的cookie是不一样的。首先我们打开一个页面按F12在应用中我们可以找到Cookie,其中的Domain就是Cookie所述的域名就是默认情况下Cookie是无法被携带到其他域名下的当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为当前页面url被请求页面url是否原因。
HTTP cookie与HTTPS
cxuyuanLch的博客
03-06 3446
Cookie总是保存在客户端中。 按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。 内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。 硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。 所以,按存在时间,可分为非持久Cookie和持久Cookie。 一般cookie所具有的属性,包括: Domain:,表示当前cookie所属于哪个或子下面。 对于服务器返回的Set-C
【记录】Cookie
最新发布
weixin_48046939的博客
01-09 790
做个笔记,Cookie问题、同和同站概念
HTTP 协议下使用 cookie 已成过去式
qq_42190727的博客
09-26 249
chrome 出于安全性,现阶段已经不支持了 http 协议下的 cookie 使用。
Django的cookie问题解决方法
11-18
在这个场景中,我们关注的是Django应用中的cookie问题,这通常在开发多站点或者前后端分离的项目中出现。在"实验室大作业购物商城示范"这样的项目中,处理好cookie能够确保用户登录状态等敏感信息在不同...
JSP使用ajaxFileUpload.js实现问题.docx
01-20
### JSP 使用 ajaxFileUpload.js 实现问题解析 #### 一、背景与概述 在Web开发中,问题一直是开发者面临的一个常见难题。问题是由于浏览器的同源策略导致的,该策略限制了一个下的JavaScript脚本...
JSP使用ajaxFileUpload.js实现问题
10-22
在ajaxFileUpload.js中实现文件上传时,需要服务器端支持CORS,允许来自特定源的请求。在配置文件中,通常需要在响应头中添加相应的CORS相关的设置,例如Access-Control-Allow-Origin,允许哪些域名可以发起...
http和https网页切换导致cookie失效问题
06-26 5611
网站先后从https和http方式登陆网站,会导致http中cookie无法生效,即https覆盖和http但作用只在https中,在http中浏览器debug中查看不到相关cookie。之前遇到这个问题,网站登录和跳转出现问题,如果不仔细观察和思考很不容易发现以为是程序bug。其实也可以从web服务器配置入手杜绝,比如nginx配置http到https重定向。 ...
http域名在浏览器set-cookie失败,导致cookie中获取不到内容解决方案
tpl9236 的博客
12-23 4438
由于开发一个表格系统时,前端使用的是Vue,后端使用的是 spring boot,在本地调试时用 localhost来访问,可以做到服务端和客户端使用cookie(HttpSession session) 通信,实现验证是否登录,但是在生产环境客户端(浏览器)在登录时无法set-cookie,导致cookie 信息没有保存在浏览器,其他接口无法做验证登录。
Tomcat中Set-Cookie的Domain错误导致无法登录问题
踏着键的威威猫
08-15 3864
把项目部署到生产上后,发现无法保持登录状态,每次一登录成功后进入页面又跳转至登录页。检查请求 Response Headers 发现 Set-Cookie 的 Domain 指向了另外一个地址,原来是 Tomcat Context 配置中的 sessionCookieDomain 写错了地址,改正即可。配置如,.example.com 会对 www.example.com 有效,具体规则可参考下面链
Cookie的设置域名domain与问题
HelloWorld_Joe的博客
09-04 5579
今天研究一天发现cookie无法设置除当前域名或者其父域名之外的其他domain. 这个是浏览器出于对cookie的保护造成的,也就是cookie无法设置。 对于子域名也有如下规则,当前域名只能设置当前域名以及他的父域名,不能设置子域名 如在www.wo.cao.baidu.com 域名下只能设置 cao.baidu.com,baidu.com 不能设置 da.jia.wo.cao....
关于前后端不在统一服务器设置Cookie问题
u014679797的专栏
01-09 1321
1.后端允许调用,并添加Cookie @CrossOrigin @RequestMapping(value="/login", produces = "application/json; charset=utf-8", method=RequestMethod.POST) @ApiOperation(value = "用户登录") @ApiImplicitParams({ @A...
域名set-cookieSet-Cookie was blocked because its Domain attribute was invalid with regards to the url
一键写代码的博客
09-07 5684
先说坑: api.abc.com这个域名,写cookie重定向到static.abc.com这个域名, 发现,cookie没有写成功,前端在代码中获取不到cookie。使用控制台查看, 报错this Set-Cookie was blocked because its Domain attribute was invalid with regards to the url 。 看字面意思,就是设置cookie非法了,操作不对。 查后台代码,后台设置cookie时,是这样玩的: set-cookie: use
Response中set-cookie里有值,但是浏览器cookie却没有
热门推荐
dxj124的博客
10-21 2万+
最近我在重构一个项目,将原来的web前后端进行分离,在写第一个controller的时候,就遇到一系列的问题,解决了4、5bug后,最后一个就是后端的cookie不能再浏览器appliction->cookies中显示 解决方法:(这里需要转载一下)  因为浏览器的同源策略的限制,不同域名间的请求会造成问题(同源策略是客户端的限制,服务端的互相请求不会有问题)。一般场景下解决问题常用的解决方法都是CORS解决,即配置服务端接受发起请求的域名 response.head.
关于不同域名共享cookie问题
IUBKBK的博客
07-14 1万+
项目背景:两个项目之间需要共同的登录信息,域名不相同cookie不能直接传递。 在这里介绍一下cookie: 1.cookie是一个存储在客户端的字符串属性,可以用它对当前网页的cookie进行读,写,增.删等操作;javascript能够用document对象的cookie属性对cookie进行操作; 2.cookie的四个可选属性: 2.1 cookie的生存期属性:expires;默认情况下,cookie只在浏览器会话期存在.退出浏览器就丢失;可以用expires设置时间;退出浏览器后就不会丢失并存为
解决谷歌浏览器Cookie问题this Set-Cookie didn
CEVERY的博客
03-16 1万+
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
cookie问题
08-02
回答: Cookie问题是指在浏览器中,当一个站点在请求另一个域名下的接口时,无法直接获取到该域名下的Cookie信息。这是由于浏览器的同源策略所导致的。同源策略要求请求的域名、协议和端口号都必须一致才能够共享...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值