关于cookie domain中的点前缀

最新推荐文章于 2025-03-29 16:59:24 发布
最新推荐文章于 2025-03-29 16:59:24 发布
阅读量3.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Web应用 文章标签: java 运维 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hittyt/article/details/84353739

今天同事遇到一个问题,大概描述如下:

浏览器已经接收指令,之前在一级域名下存储了相关的信息。这里为了简化问题,假设我们有两个应用A和B,域名分别为:a.b.com和c.a.b.com。(显然B是A的一个子域)。

上面的描述就是:在.b.com这个一级域名下,我们已经成功写入了一个cookie,假设为:b=level1。

在正常用户的浏览行为中,应用A会向自己的域下写入a=level2(domain:a.b.com)。

在A正常的页面中,有些场景会有异步的请求发出到B应用的页面(用于获取数据),合理的一种想法是:发送到B应用的请求,应该携带着上面的b=level1,a=level2这两个cookie信息到B应用的服务器去才对。但是,实际的情况是,b=level1被如愿携带上来,但是a=level2这个信息却被丢弃了!(确切的说是没有跟着request一起被发送到B的服务端)。

为啥?在访问子域应用时,不是父域名下的cookie都应该被携带上来吗?就像上面的b=level1那样?

 

其实,关于这点,在cookie的RFC规范中,并没有太明显的说明,至少我没有看到,即使又看了一遍RFC6265中关于Domain Matching的描述也是如此。

但实际的使用过程中,某个域下的cookie如果希望能够被他的子域具有可见性(即可以读取),必须要注意的一点是,应该保证这个cookie在被Set的时候,应该以"."开头。回到上面的例子,之所以a=level2这个cookie没有在用户浏览器请求B应用时被携带到B的server端,就是因为a=level2这个cookie的domain不是.a.b.com,而是a.b.com

事实上,上面例子中的A应用,在向自己的域名下写入a=level2这个cookie时,压根就没有显示的设置domain这个属性,这样一来,浏览器接受到这个Set Cookie的请求时,就会以默认以当前应用的域名作为cookie的domain。(不过据说某些版本的Firefox到是会自作聪明的在当前域名的前面自动加上一个点,这个待验证!)

 

这一个小点的区别,还是很容易被忽略的,不过产生的浏览行为还是有细微差别的。(涉及到cookie是否上传,是否占用网络流量等)

 

PS:关于上面说到的那个问题,stackoverflow上的这个有个截图,看着说明就直观很多了。

Set-Cookie失效。response响应头中包含set-cookie。但是没有存储在本地cookie中的问题汇总。
梦一样的博客,神话般的感觉
04-03 1万+
小伙伴们在改造已有项目的时候会碰到自己的响应头中包含了set-cookie失效不起作用这类的信息。导致我们服务端的某些功能不能使用,比如“认证”,“权限”等。 小编在这里罗列一下可能发生的问题。共大家排查。 Domain问题 这是由于你返回的set-cookie指令中的Domain属性设置的值无法与你当前请求网站的域名相对应,所以浏览器忽略了set-cookie指令,没有存储在本地的cookie中。 例如:请求路径为localhost。但是set-cookie指令中的Domain属性设置为127.0.0
useCookie函数:管理SSR环境下的Cookie
07-13 1172
摘要:本文详述了useCookie函数在服务器端渲染(SSR)中的应用,包括读写Cookie、配置选项如maxAge、expires、httpOnly、secure、domain、path及SameSite,并提供了encode、decode、default、watch等高级用法示例,以及如何在API路由中操作Cookie
Cookie跨域Domain域名前面记得加
11-10 536
a.xxx.com和b.xxx.com要实现cookie跨域访问 赋值cookie时需要加上 cookie.Domain = ".xxx.com"; 别忘加上xxx.com前面的. 之前是这么写的 cookie.Domain = "xxx.com"; 结果有个别用户出现cookie无法存取的情况 所以务必加上前面.xxx.com
cookie详解
最新发布
Mrs_Lupin的博客
03-29 1092
Domain和Path即允许 Cookie 应该发送给哪些 URL。
tomcat8.5.34集群利用redis设置session共享
ylfmsn的博客
03-26 421
环境 jdk1.8.0_181 tomcat8.5.34 redis 3.0.6 安装redis,并设置密码为test123456 git下载redis-session-manager 地址https://github.com/chexagon/redis-session-manager mvn环境下,编译,打包 将生成的rsm-lettuce-with-dependencies-<VER...
Cookie 相关的一些小知识
qq_32029605的博客
09-21 597
设置 Cookiedomain 时,前面和不带的区别? 带:父域名和任何子域名都可以访问 不带:只有完全一样的域名才可以访问,IE 除外,仍然支持子域名访问 服务端设置 cookie 之后发生了什么? response.addCookie(cookie); 实际上,服务端设置 cookie 之后,只是将 cookie 种在 response header 的 set-cookie 中,待请求完成,浏览器收到响应后会将其存储。若未设置 Expires/Max-Age,则浏览器关闭后 co
thinkphp3.x中cookie方法的用法分析
10-22
本文将详细介绍ThinkPHP 3.x中的Cookie方法,包括其设置、获取和删除的操作。 一、Cookie方法的用法 在ThinkPHP 3.x中,使用`cookie()`函数来操作Cookie。它接受三个参数: 1. `name`(必需):要操作的Cookie变量...
CodeIgniter删除和设置Cookie的方法
12-18
`domain`参数确保Cookie只在`.apol0829.dev`域下有效,而`prefix`则用于为Cookie名称添加一个独特的前缀。 **删除Cookie** 要删除一个已设置的Cookie,可以再次调用`set_cookie()`函数,但这次将`value`设为空字符...
javascript与cookie 的问题详解
10-26
cookieDomain = tmp.slice(1).join('.'); } // 设置Cookie document.cookie = 'key=value; domain=' + cookieDomain + '; path=/'; ``` 然而,尽管这样可以防止不同环境间的Cookie互相影响,但在读取时,你仍可能...
cookiedomain属性
热门推荐
longgege001的博客
07-31 9万+
欢迎大家光临我的个人博客,详戳 https://545longgege.top/ 最近在改一个bug单时,有个问题涉及到了cookiedomain属性,大致场景是由于不同的服务页面出现了同名的cookie但是domain域不同,导致出现了不可思议的bug。于是查询与cookiedomain属性相关的资料并记录之。 1、什么是Cookie? Cookie是由W3C组织提出,最...
Cookie的HttpOnly、secure、domain属性
LJLLJL20020628的博客
09-20 436
Cookie主要属性 Cookie主要属性: path domain max-age expires:是expires的补充,现阶段有兼容性问题:IE低版本不支持,所以一般不单独使用 secure httponly JS不能读写HttpOnly Cookie 属性之间使用英文分号和空格("; ")连接 浏览器存放cookie包含的字段: name、value expiry-ti...
web 项目中设置 cookie 的时候添加 domain 和不添加 domain 的区别
wab719591157的专栏
07-08 1万+
在 web 项目中设置  cookie 的时候 domain (域名) 属性为可选项,可设置也可以不设置。 那么设置和补设置到底有什么区别呢? 1、设置 cookie 时明确指定 domain 域名,子域名可读取(子域共享该cookie),删除时则也必须明确指定域名,否则无法删除。 2、设置 cookie 时不指定域名,使用默认值,则表示 只有当前域名可见(子域不可共享)。删除时也不
正确使用cookie中的domain
ogog123的博客
08-16 3393
domain的含义为域 假设有两个域名 a.b.e.f.com.cn  以下用域名1指代此域名 c.d.e.f.com.cn   以下用域名2指代此域名 在域名中,所有域名进行分级,也就是说域名1与域名2都是f.com.cn的子域名,f.com.cn又是com.cn的子域名 在域名1所使用的服务中,可以设置域名 a.b.e.f.com.cn b.e.f.com.cn e.f.com
cookie中因domain设置引发的问题
Touch
04-23 1万+
cookie中因domain设置引发的问题 场景:项目采用springboot构建,为了解决tomcat分布式的问题,采用根域名进行配置,session共享问题中,创建自定义的CookieUtil类,实现读,写,删除cookie的操作,部分代码如下 private final static Stri...
sso单登录如何清除cookie
02-18
### 如何在SSO单登录中正确清除Cookie 在SSO(Single Sign-On,单登录)系统中,为了确保用户安全退出并彻底结束会话,在登出过程中需要有效地清除存储于客户端的凭证信息。具体来说,这涉及到删除由服务器设置并通过HTTP响应头`Set-Cookie`指令传递给浏览器保存的cookie。 对于跨多个子域的应用程序而言,如果这些应用共享同一顶级域名下的单一身份验证机制,则不仅要在当前页面所在的特定站上移除token对应的cookie,还需要通知其他关联的服务也执行相应的清理操作[^1]。 #### 清楚主域名中的Token Cookie 当接收到用户的注销请求时,SSO服务端应当负责协调整个过程: - **定位目标Cookies**: 需要明确哪些cookies是用于表示已认证状态的关键标识符; - **构建Logout逻辑**: ```java // Java Servlet 示例代码片段展示如何处理logout请求 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // 获取session对象以便后续可能的操作 HttpSession session = request.getSession(false); if (null != session){ // 销毁现有的HttpSession实例 session.invalidate(); } // 创建新的空Cookie覆盖旧有的同名项来达到删除效果 Cookie killCookie = new Cookie("your_token_name", null); killCookie.setPath("/"); killCookie.setMaxAge(0); // 设置最大存活时间为0秒即刻失效 String domain = ".example.com"; // 替换成实际使用的根域名前缀加上. if (!domain.isEmpty()){ killCookie.setDomain(domain); } // 将此Cookie加入到Response头部返回给浏览器 response.addCookie(killCookie); // 跳转至指定URL完成最终重定向动作... } ``` 上述代码展示了通过创建一个新的具有相同名称但值为空且生存期设为零(`setMaxAge(0)`意味着立即过期) 的Cookie实例,并将其路径属性设定为"/"(代表该主机下所有资源),以及可选地指定了作用范围更广的`.example.com`(适用于多级子域名场景)。这样做能够确保无论哪个子域发起的请求都能被有效识别进而更新本地缓存记录。 此外,考虑到现代Web应用程序架构复杂度日益增加的情况,除了基本的cookie管理外,还应考虑集成额外的安全措施如HTTPS强制传输层保护、CSRF防护令牌等手段进一步增强系统的安全性[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值