AJAX中对COOKIE处理无效的问题

最新推荐文章于 2021-08-06 14:29:11 发布
最新推荐文章于 2021-08-06 14:29:11 发布 · 729 阅读 · 0
文章标签:

#Ajax #DWR #Servlet #JSP #框架

问题

    在程序中使用了AJAX功能对登录操作进行自动登录,信息存于COOKIE中,但在前台却怎么也得不到这个COOKIE。AJAX框架使用的是DWR

解决    

    在servlet中使用cookie的时候,如果没有使用cookie.setPath设置路径的话,它会将发送它的servlet所在的目录(这里的目录指在web.xml中配置的虚拟目录)做为目录。cookie的特性是只有它的目录以及以下的子目录的servlet才能访问它。由于DWR配置了/dwr作为servlet访问的根路径,因此在JSP中无法获取到COOKIE   

 

使用cookie.setPath("/")设置为根目录让它可以让项目的所有servlet访问

Nginx解决跨域,session,cookie无效
虫虫的博客
05-08 4289
问题背景 有需求是把两个项目a和b,在a项目中有页面需要调用b中的接口,两项目的域名不同,分别为a.com, b.com。这时候如果直接调用,显然跨域了。一番折腾之后,问题解决了,这里记录一下解决方法。 解决方法 第一步,解决跨域 这个使用Nginx的代理功能即可,在a服务器的Nginx添加如下示例配置: location ~ /xxx/ { proxy_pass http://b.com; } 这样就把路径中带有/xxx/的请求都转到了b.com。如果不需要保存cookie,保持session这
php通过ajax设置cookie无效
龚清林的博客
08-16 413
php通过ajax设置cookie无效
ajax 跨域丢失cookie问题
fzf474577969的专栏
10-08 641
原生ajax请求方式: var xhr = new XMLHttpRequest(); xhr.open("POST", "http://xxxx.com/demo/b/index.php", true); xhr.withCredentials = true; //支持跨域发送cookies xhr.send(); jquery的ajax的post方法请求: $.aj
使用ajax请求接口,跨域后cookie无法设置,全局配置ajax;及使用axios跨域后cookie无法设置,全局配置axios...
anda9128的博客
05-17 467
问题一:   使用ajax/axios跨域请求接口,后端放行了,能够正常获取数据,但是cookie设置不进去,后端登录session判断失效   ajax解决办法: //设置ajax属性  crossDomain:true      跨域代理  xhrFields:{ withCredentials : true },   用于对本地XHR对象进行设置。一对「文件名-文件值」在...
ajax请求接口判断是否成功与否,Ajax请求Tornado接口设置cookie不成功 ?(神踩坑)-cookie设置...
weixin_33169898的博客
08-06 412
最近在写一个点赞功能的页面,采用Ajax异步加载点赞数量,可是调用成功,但是浏览器端不显示cookie信息,这让小编整整弄了三四个小时,最后得知是Ajax的跨域问题,神坑啊~~~~~~~~首先看一下后端代码,用Tornado框架写的,继承web.py里面的方法,首先先看一下源代码:def get_cookie(self, name, default=None):"""Gets the value ...
XMLHttpRequest(Ajax)无法修改header中的Cookie
hao741100265的专栏
01-24 2989
在调试接口的时候发现Jquery Ajax怎么修改headers的Cookie都无法生效,于是得到了这个答案 另外还有一些也无法修改,下面是不能修改的项目的数组 var forbiddenRequestHeaders = [ "accept-charset", "accept-encoding", "access-control-request-headers",
解决ajax跨域请求数据cookie丢失问题
10-24
在开发中,当我们使用Ajax技术发起跨域请求时,可能会遇到一个问题:由于浏览器同源策略的限制,跨域请求默认不携带cookie信息。这给需要在不同域之间进行身份验证和状态跟踪的Web应用带来了挑战。本文将通过前端...
thinkphp中session和cookie无效的解决方法
10-25
主要介绍了thinkphp中session和cookie无效的解决方法,涉及针对BOM头的分析与删除方法,具有一定的参考借鉴价值,需要的朋友可以参考下
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
YII2自动登录Cookie总是失效的解决方法
10-19
这通常是由于开发者在登录处理逻辑中错误地使用了exit或die函数,导致浏览器没有收到设置Cookie的头部信息。在PHP脚本执行到exit或die时,脚本会立即停止执行,这会导致在设置Cookie之前就已经终止了响应。因此,...
Ajax请求保存不了cookie问题
BoomMan
11-28 3181
官方文档: https://developer.mozilla.org/zh-CN/docs/Web/API/XMLHttpRequest 在微信小程序中 通过XMLHttpRequest.getResponseHeader()获取header XMLHttpRequest.withCredentials = true; //支持跨域发送cookies //配置cookie or 证书需在send...
ajaxcookie,为什么jQuery的.ajax()方法不发送会话cookie
weixin_35651471的博客
08-05 288
慕森王我是在跨域的情况下操作。在登录期间,远程服务器将返回set-cookie头以及Access-Control-Allow-Credentials设定为真。下一个对远程服务器的Ajax调用应该使用此cookie。CORS‘sAccess-Control-Allow-Credentials是否允许跨域日志记录。查帐https:/developer.mozilla.org/en/HTTP_Acces...
ajax 跨域无法携带cookie 解决办法
weixin_30402085的博客
12-18 465
ajax 跨域无法携带cookie,需要用到session,终于完美结局 xhrFields: { withCredentials: true }, 添加这个可能是大家都会做的一件事 但是添加上了之后就出现了另外一个问题 The 'Access-Control-Allow-Origin' header contains the invalid value 'Origin'. Ori...
mui的使用--登录,发送ajax,跨域,cookie设置验证失效,及$.plusReady等问题与解决,(二)
xu2034029667的博客
10-19 4626
真的太天真,接触MUI一个星期,问题真层出不穷,一度考虑换一个移动框架,但暂时没有找到一个前端框架,文档里面包括对手势事件处理,上拉刷新等封装处理操作,加上应用程序和WAP的混合开发的巨大的魅力,还是硬着头皮继续开发下去 第一个问题设置登陆身份认证的cookie的失败 发送第一个登陆AJAX请求:设置coolkie,一开始设置无效,实际上设置成功,前端调试发现没问题,发现了这个会议 Da...
Ajax跨域请求Cookie无法携带
weixin_40459875的博客
05-16 4437
一、问题在做前后端分离时,前端用ajax发送请求,后端接收请求并设置cookie返回,但是在调试的时候始终无法将cookie写入到浏览器,也就是始终无法使response携带cookie返回。最终发现是ajax问题ajax默认不支持携带cookie。二、解决发现了问题就要解决:(1)修改ajax参数,使之支持跨域携带cookie:xhrFields   : {withCredentials: t...
解决ajax跨域请求cookie无法带上的解决方法
Ark方舟
02-06 718
注意:cookie是基于域名来储存的。要放到测试服务器上或者本地localhost服务器上才会生效。cookie具有不同域名下储存不可共享的特性。单纯的本地一个html页面打开是无效的。 原生ajax请求方式: var xhr = new XMLHttpRequest(); xhr.open("POST", "http://xxxx.com/demo/b/index.php"...
ajax接收不到服务器设置cookies问题
成龙的博客
10-18 1504
环境:ajax+springMVC, 现象: 1、浏览器请求jsp页面,可以获取到拦截器postHandle设置cookie 2、页面的ajax请求接口,拦截器同样设置cookie,但前端获取不到,(抓包工具显示后端没传对应cookie) 3、把postHandle设置cookie的代码放到preHandle方法里面,ajax请求每次也可以获取到cookie 4、controller...
cookie+ajax+跨域访问,Ajax跨域请求COOKIE无法带上的完美解决办法
weixin_42514537的博客
08-05 254
1、原生ajax请求方式:1 var xhr = new XMLHttpRequest();3 xhr.withCredentials = true; //支持跨域发送cookies4 xhr.send();2、jquery的ajax的post方法请求:$.ajax({type: "POST",url: "http://xxx.com/api/test",dataType: 'json',    ...
ajax 发送cookiecookie 丢失,网络编程Ajax跨域访问Cookie丢失问题的解决方法
weixin_39849387的博客
08-06 585
ajax跨域访问,可以使用jsonp方法或设置Access-Control-Allow-Origin实现,关于设置Access-Control-Allow-Origin实现跨域访问可以参考之前我写的文章《ajax 设置Access-Control-Allow-Origin实现跨域访问》1.ajax跨域访问,cookie丢失首先创建两个测试域名a.fdipzone.com 作为客户端域名b.fdip...
设置cookie只能http-only,但是前端无效
最新发布
08-22
<think>我们正在讨论的是HTTP-only Cookie的特性:当Cookie设置为HttpOnly时,它会在浏览器的document对象中不可见,因此无法通过JavaScript访问。这是设计上的安全特性,目的是防止跨站脚本攻击(XSS)窃取敏感Cookie信息。 根据引用[3]:一旦设置了Http-Only,在浏览器的document对象中就看不到Cookie了,但是浏览器在发起请求时(包括正常浏览和Ajax请求)会自动将Cookie包含在HTTP请求头中发送给服务器。 引用[2]和[5]也指出,对于敏感信息(如AccessToken),应该使用HttpOnly标志,这样前端无法通过JavaScript读取,从而提高了安全性。 因此,如果你在设置Cookie时启用了HttpOnly标志,那么前端无法通过JavaScript读取或操作该Cookie,这是正常且符合预期的行为。 以下是详细解释: 1. **HttpOnly Cookie的作用机制**: - 服务器在响应头中设置Cookie时,添加`HttpOnly`属性,例如: ``` Set-Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=Strict ``` - 浏览器接收到这样的Cookie后,会将其存储起来,但在任何情况下都不会允许客户端脚本(如JavaScript)访问该Cookie。这意味着`document.cookie`无法获取到标记为HttpOnly的Cookie。 2. **前端无法访问HttpOnly Cookie**: - 尝试通过JavaScript读取Cookie时,只能看到非HttpOnly的Cookie。例如: ```javascript // 假设有一个名为"user"的非HttpOnly Cookie和一个名为"sessionId"的HttpOnly Cookie console.log(document.cookie); // 输出: "user=john;" // 而"sessionId"不会出现在这里 ``` - 同样,JavaScript也无法通过`document.cookie`设置HttpOnly Cookie。 3. **为什么需要HttpOnly**? - 主要为了防止XSS攻击。如果敏感Cookie(如会话标识符)被窃取,攻击者可以模拟用户身份。通过HttpOnly,即使网站存在XSS漏洞,攻击者也无法通过脚本获取这些Cookie[^3][^5]。 4. **如何验证HttpOnly设置成功?** - 在浏览器开发者工具的Application(或Storage)选项卡中查看Cookie,HttpOnly的Cookie通常会有特殊的标记(如一个锁图标或HttpOnly列显示Yes)。 - 在Console中运行`document.cookie`,不会显示HttpOnly的Cookie。 5. **后端如何设置HttpOnly Cookie?** - 在Java Servlet中,可以通过`setHttpOnly`方法设置: ```java Cookie cookie = new Cookie("sessionId", "abc123"); cookie.setHttpOnly(true); // 设置HttpOnly属性 cookie.setSecure(true); // 建议同时设置Secure(仅通过HTTPS传输) cookie.setPath("/"); response.addCookie(cookie); ``` - 在Spring Boot中,可以通过`ResponseCookie`构建: ```java ResponseCookie cookie = ResponseCookie.from("sessionId", "abc123") .httpOnly(true) .secure(true) .path("/") .sameSite("Strict") .build(); response.addHeader(HttpHeaders.SET_COOKIE, cookie.toString()); ``` 6. **前端如何与HttpOnly Cookie配合?** - 由于前端无法直接读取HttpOnly Cookie,所以需要改变一些设计: - 用户认证:登录成功后,服务器设置HttpOnly的会话Cookie。后续每个请求浏览器自动发送该Cookie,服务器验证后返回数据。 - 前端需要获取用户信息:应通过API请求(如`/api/user-profile`)从服务器获取,而不是直接从Cookie中读取。 - 避免在客户端存储敏感信息:如引用[5]所述,不要将AccessToken等敏感信息暴露给前端,而应使用HttpOnly Cookie存储[^5]。 7. **注意事项**: - 安全传输:建议同时设置`Secure`属性,确保Cookie仅通过HTTPS传输。 - 跨域问题:如果前端和后端不在同一域,需设置`SameSite`属性(`None`、`Lax`或`Strict`)和`domain`属性,并注意跨域请求需携带Cookie时需配置CORS(`Access-Control-Allow-Origin`指定具体域名,且`Access-Control-Allow-Credentials`设为true)[^4]。 总结:设置HttpOnly后前端无法访问Cookie是正常的安全特性,旨在保护敏感信息。前端应避免操作此类Cookie,转而通过API与后端交互。 §§相关问题§§ 1. 如何防止XSS攻击窃取非HttpOnly的Cookie? 2. 在跨域场景下如何安全地使用HttpOnly Cookie? 3. HttpOnly Cookie与JWT令牌在安全性上有何优劣? 4. 如何在主流前端框架(如React、Vue)中配合HttpOnly Cookie实现用户认证? 5. 如何通过浏览器开发者工具调试HttpOnly Cookie?</think>### HTTP-only Cookie 设置后前端无法访问的原因与机制 HTTP-only Cookie 是浏览器安全机制的重要组成部分,其核心特性是**禁止客户端脚本访问**,这是设计上的安全特性而非故障。以下是详细解析: #### 一、HTTP-only 的工作机制 1. **服务器设置阶段** 当服务器通过 `Set-Cookie` 响应头设置 HTTP-only 标志时(如 Java Servlet): ```java Cookie cookie = new Cookie("token", "abc123xyz"); cookie.setHttpOnly(true); // 关键设置 cookie.setSecure(true); // 建议同时启用 Secure response.addCookie(cookie); ``` 响应头示例: ``` Set-Cookie: token=abc123xyz; HttpOnly; Secure; SameSite=Strict ``` 2. **浏览器存储阶段** - 浏览器会存储该 Cookie,但**不会将其暴露给 JavaScript 引擎** - 在开发者工具的 `Application > Storage > Cookies` 中,HTTP-only Cookie 会显示 `✔` 标记(但值被隐藏) 3. **请求发送阶段** 浏览器会在**符合条件时自动附加**该 Cookie 到 HTTP 请求头中: ``` Cookie: token=abc123xyz // 自动包含在请求头 ``` #### 二、前端无法访问的根本原因 1. **JavaScript 访问限制** 任何尝试通过 `document.cookie` 读取的代码: ```javascript console.log(document.cookie); // 输出: "" (不包含 HTTP-only Cookie) ``` 结果始终为空字符串,这是浏览器主动屏蔽的结果[^3]。 2. **API 操作限制** ```javascript // 所有修改操作均无效 document.cookie = "token=newvalue"; ``` 即使尝试覆盖也会被浏览器拒绝[^3]。 3. **浏览器安全沙箱机制** HTTP-only Cookie 存储在独立的**系统级存储区**,与常规 Cookie 存储隔离,完全脱离 JavaScript 执行环境[^5]。 #### 三、这是设计的安全特性 1. **防御 XSS 攻击** 即使网站存在 XSS 漏洞,攻击者也无法通过脚本窃取 HTTP-only Cookie[^3]。 2. **保护敏感凭证** 适用于会话 ID、身份令牌等敏感数据(如引用[5]强调的 AccessToken 保护)[^5]。 3. **符合安全最佳实践** 如 OWASP 推荐的会话管理方案: > "Always set the HttpOnly flag on session cookies" – OWASP Cheat Sheet #### 四、正确使用场景 1. **后端直接验证** ```java // Servlet 中获取 Cookie Cookie[] cookies = request.getCookies(); for (Cookie c : cookies) { if ("token".equals(c.getName())) { // 后端直接验证 token 有效性 } } ``` 2. **前端无感知认证** 浏览器自动发送 Cookie → 后端验证 → 返回响应数据,前端无需处理凭证[^2]。 3. **敏感操作保护** 如支付、密码修改等操作必须通过后端验证 HTTP-only Cookie[^5]。 #### 五、解决方案 1. **区分 Cookie 用途** | Cookie 类型 | 适用场景 | 是否 HTTP-only | |-------------------|-------------------------|---------------| | 身份认证令牌 | 用户登录状态 | 必须启用 ✅ | | UI 偏好设置 | 主题/语言选择 | 不应启用 ❌ | 2. **替代敏感数据传输** ```javascript // 前端通过安全 API 获取数据 fetch("/api/user-profile", { credentials: "include" // 允许发送 HTTP-only Cookie }) ``` 后端返回脱敏后的用户数据,而非直接暴露凭证[^2]。 --- ### 总结 HTTP-only Cookie 的前端不可见性**是安全特性而非缺陷**,它通过隔离脚本访问从根本上防御 XSS 攻击。开发者应遵循以下原则: 1. 敏感凭证必须设置 HTTP-only + Secure 2. 前端需通过 API 与后端交互而非直接操作 Cookie 3. 非敏感数据使用普通 Cookie[^3][^5]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值