cookie的规范Cookie的不可跨域名性或Cookie与域名的关系

最新推荐文章于 2024-01-29 10:26:16 发布
最新推荐文章于 2024-01-29 10:26:16 发布
阅读量2.6k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/weixin_43043173/article/details/85914901
本文详细探讨了在web开发中遇到的Cookie跨域问题,通过一个具体的购物车项目案例,阐述了不同域名和端口下Cookie的行为差异,以及如何解决跨域导致的数据获取问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前些天在开发中遇到了关于浏览器cookie的一些小细节问题。

例如: 我创建的一个小购物车的web项目。
用nginx绑定域名 cart.test.com,对应ip为localhost:8888。

具体问题: 使用地址栏访问:cart.test.com/cart/addItemToCartList?itemId=123 (此为添加购物车数据方法)时,返回的结果为成功,存储过程没有问题。
但是,我使用localhost:8888/cart/findCartList(此为查询购物车数据方法)获取的数据却是空数组:[]。然而,如果换成 cart.test.com/cart/findCartList 访问该方法时却可以拿到数据。
解决思路:通过debug发现我使用 cart.test.com/cart/findCartList 和localhost:8888/cart/findCartList 访问同一方法时,所产生的cookie是不一样的。

答案:百度得知
cart.test.com/cart/findCartList
localhost:8888/cart/findCartList
域名和域名对应相同ip
这种情况属于跨域场景。又因为,Cookie具有不可跨域名性。所以无法获取同样的数据。
解决方案:初步定为统一访问方式
参考如下:

*常见跨域场景
URL 说明 是否允许通信
http://www.domain.com/a.js
http://www.domain.com/b.js 同一域名,不同文件或路径 允许
http://www.domain.com/lab/c.js
http://www.domain.com:8000/a.js
http://www.domain.com/b.js 同一域名,不同端口 不允许

http://www.domain.com/a.js
https://www.domain.com/b.js 同一域名,不同协议 不允许

http://www.domain.com/a.js
http://192.168.4.12/b.js 域名和域名对应相同ip 不允许**

http://www.domain.com/a.js
http://x.domain.com/b.js 主域相同,子域不同 不允许
http://domain.com/c.js

http://www.domain1.com/a.js
http://www.domain2.com/b.js 不同域名 不允许*

最后说一下cookie的相关知识点:
Cookie的不可跨域名性
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?

答案是否定的。Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。

Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google与Baidu的域名不一样,因此Google不能操作Baidu的Cookie。

需要注意的是,虽然网站images.google.com与网站www.google.com同属于Google,但是域名不一样,二者同样不能互相操作彼此的Cookie。

newbei5862
关注
COOKIE 规范COOKIE 规范
05-13
ajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajaxajax
Cookie规范介绍
weixin_34319374的博客
03-14 125
目前有以下几种 Cookie 规范: Netscape cookie 草案:是最早的 cookie 规范,基于 rfc2109。尽管这个规范 rc2109 有较大的差别,但是很多服务器都之兼容。 rfc2109, 是 w3c 发布的第一个官方 cookie 规范。理论上讲,所有的服务器在处理 cookie( 版本 1) 时,都要遵循此规范。遗憾的是,这个规范太严格了,以致很多服务器不正...
Cookie规范
09-23 1825
http协议之cookie标准RFC6265介绍   cookie是现代web系统开发中非常重要的一个技术,最近对cookie标准RFC6265进行了了解,从中选取了部分内容。 1.cookie的主要作用   因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器。所以,需要额外的数据用于维护会话。 Cookie 正是这样的一段随HTTP请
HTTP Cookie规范
诗人不写诗
09-21 926
所有数据在网络上传输,最终都可以理解为字符串的传输。不要跟我扯到二进制,还原主义并没有将问题简单化,特别是在计算机世界里,使用还原主义,一切都还原成二进制流,这根本没有意义。 这里我们先还原到文件这个程度,所有文件都是有格式的,比如视频的avi格式,图片的jpg格式,文档的doc格式,表格的xls格式。何为格式,就是表示文件的规范,格式规定了文件的文件头,文件体,文件尾等,让文件的生成和读取可以程序化,可以在网络上传输。 这里HTTP协议也是一样的道理,HTTP是超文本传输协议,可以传输各种文件,所以发
Cookie 规范
无花的专栏
05-04 147
INTRODUCTION Cookies are a general mechanism which server side connections (such as CGI scripts) can use to both store and retrieve information on the client side of the connection. The addition o...
指定js可访问其它域名cookie的方法
10-30
- Cookie的安全和隐私保护非常重要,确保只在必要的情况下才进行跨域名共享,并考虑使用`Secure`和`HttpOnly`等标志来增强安全。 #### 五、实践中的考虑因素 - **安全**:虽然共享Cookie可以方便数据的传递...
php中cookie实现二级域名可访问操作的方法
10-25
总结来说,在PHP中,可以通过设置setcookie函数的domain参数为顶级域名二级域名,并结合相应的方法类库来实现二级域名对主域名cookie的访问。需要注意的是,设置domain为*.域名形式是错误的,不应当使用。同时,...
域名cookie问题(域名后缀)
10-27
在安全方面,跨域设置cookie,尤其在主域名域名间,可能会导致安全隐患,例如跨站脚本攻击(XSS)会话劫持。因此,通常在跨域情况下需要采用额外的措施,如设置HttpOnly和Secure属,以及使用诸如同源策略...
二级域名Cookie问题的解决方法
10-30
在探讨二级域名Cookie问题的解决方法之前,首先要了解Cookie是什么。Cookie,又称网络小甜饼,是由网站服务器创建的文件,存储在用户的浏览器中,用来记录用户的某些信息,如访问偏好、登录状态等。Cookie有两个关键...
cookie规范(RFC6265)翻译
weixin_30508309的博客
07-21 1652
来源:https://github.com/renaesop/blog/issues/4 RFC 6265 要点翻译 1.简介 本文档定义了HTTP Cookie以及HTTP头的Set-Cookie字段。通过使用Set-Cookie头,一个HTTP服务器可以传递name/value键值对以及相对应的元数据(所谓的cookies)到user agent。当user agent向服务...
cookie标准
SAP攻城狮
05-16 897
http://www.rfc-editor.org/rfc/rfc6265.txt
Cookie
m0_62329056的博客
01-29 735
Cookie翻译成中文是小甜点,小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当下一次再访问服务器时把Cookie再发送给服务器。Cookie是由服务器创建,然后通过响应发送给客户端的一个键值对。客户端会保存Cookie,并会标注出Cookie的来源(哪个服务器的Cookie)。
Cookie不可跨域名
cfm_123456的专栏
01-03 1042
也就是说,Google会向客户端颁发Cookie,Baidu会向客户端颁发Cookie. 根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie;Google不能操作Baidu的Cookie, Baidu也不能操作Google的Cookie.
Cookie 详解
热门推荐
07-14 1万+
一文带你详解Cookie
Cookie简述
Paige's Blog
11-30 522
1. 什么是Cookie Cookie是HTTP协议的规范之一,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据 首先由服务器通过响应头把Cookie传输给客户端,客户端会将Cookie保存起来。 当客户端再次请求同一服务器时,客户端会在请求头中添加该服务器保存的Cookie,发送给服务器。 2. HTTP协议指定Cookie规范 Cookie通过请求头和
chrome 跨域主域名不同无法跨域携带 cookie samesite问题
qq_42535651的博客
02-09 4164
背景: 最近遇到了一个跨域无法携带 cookie 的问题。即我在前后端设置无误的情况下跨域,可以正常发送请求但是无法携带 cookie。 最后经过一番搜索找到了问题的原因,并在此进行记录一下。 什么是跨域? 跨域是浏览器的一种保护措施。防止一些恶意网站将一些链接以某种形式嵌入在网站中,用户不经意间点击链接,其实就会向链接发送了一个请求。如果请求可以随意携带上 cookie ,那就存在了安全问题,比如使用用户的 cookie 进行一些购物操作等,在用户不知情的情况下进行恶意操作。 因此浏览器限制了不同域名的请
HTTP Cookie 的作用域
艾斯比
11-17 475
背景: Cookie 是有作用域的, 使用 Domain 来区分 响应头 Set-Cookie设置规则: 只允许设置当前域名者当前域名的直接 / 间接父域名, 不允许设置为其他域名, 包括当前域名的子域名也不允许. 例如 http 的请求域名是 test.abc.com, 那么响应头 Set-Cookie 允许设置 Domain 为 test.abc.com, 者 abc.com, 但是设置 sub.test.abc.com 者其他域名都是无效. 虽然服务器可以这么响应, 但是客户端会忽略不符合
跨域问题的产生原因和相应的解决方式(Cookie相关)
jmlqqs的博客
09-29 628
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。 协议相同 域名相同 端口相同 举例来说,http://www.example.com/dir/page
3、Cookie具有不可跨域名你在逛B站时生成的cookie,不会被带到优快云的cooki
最新发布
04-03
### Cookie不可跨域机制及其工作原理 #### 什么是 CookieCookie 是一种存储在客户端的小型数据片段,通常由服务器生成并发送给浏览器。当浏览器再次向同一服务器发起请求时,会自动将这些 Cookie 数据随请求一起发送回去。 #### Cookie不可跨域特 为了保护用户的隐私和安全,浏览器实现了严格的同源策略(Same-Origin Policy),其中就包括对 Cookie 的管理规则。具体来说: - **同源定义**:两个 URL 被认为是同源的,如果它们具有相同的协议、主机名和端口号。 - **不可跨域原则**:浏览器只会将某个域名下的 Cookie 发送到其匹配的目标站点上[^1]。这意味着 A 网站无法读取写入 B 网站的 Cookie。 #### 工作原理详解 以下是 Cookie 不可跨域特的主要工作机制: 1. **设置 Domain 属** 当服务器创建一个 Cookie 并将其返回到客户端时,可以通过 `setDomain` 方法指定Cookie 所属的有效域名范围。例如,在 Java 中可以这样操作: ```java cookie.setDomain(".b.com"); ``` 这表示 `.b.com` 及其子域名都可以共享此 Cookie。 2. **路径 Path 控制** 此外还可以通过设定 `Path` 来进一步限定哪些页面能够访问特定的 Cookie。比如 `/admin/*` 页面可能拥有独立于其他部分的功能所需的不同 Cookies 设置。 3. **Secure 和 HttpOnly 标志位的作用** - 如果设置了 `Secure` 参数,则只有 HTTPS 协议下才会传输这个 Cookie; - 使用 `HttpOnly` 后 JavaScript 就不能再直接获取者修改它了,从而减少 XSS 攻击风险[^3]。 4. **SameSite 属的影响** Modern browsers introduced the `SameSite` attribute to restrict how cookies are sent with cross-origin requests. - Setting it as `Strict`, no cookies will be attached when making third-party calls; - Choosing `Lax` allows some GET operations while still preventing others like POST submissions across different origins unless explicitly allowed via CORS headers such as Access-Control-Allow-Credentials set true alongside appropriate Origin values being accepted by server side logic.[^3] #### 实际案例分析——B站 & 优快云 示例说明 ##### 案例一:Bilibili (假设场景) 假如你在 bilibili 登录成功之后跳转到了合作方网站 dianying.bilibili.com ,此时虽然两者都属于同一个顶级域名体系之下(`*.bilibili.com`)但由于存在不同的二级甚至三级子域所以需要特别处理才能让登录状态得以延续: ```javascript // Vue.js 配置 Axios 请求携带凭证 import axios from 'axios'; axios.defaults.withCredentials = true; // Server-side code snippet in PHP ensuring proper header settings for allowing credentials sharing between domains under certain conditions only after verifying incoming request's origin matches expected whitelist entries beforehand... header('Access-Control-Allow-Origin: https://www.bilibili.com'); header('Access-Control-Allow-Credentials: true'); ``` 上述代码展示了如何利用现代 Web 技术克服传统意义上的“完全隔离”的局限同时又不失安全考虑[^2]. ##### 案例二:优快云 Blog Post Example Another illustrative example comes directly out of an actual blog post written specifically addressing similar concerns regarding maintaining session continuity over multiple subdomains within a single parent domain structure without compromising overall system integrity too much either programmatically or architecturally speaking... Here we see another practical demonstration involving both client-side adjustments made possible thanks largely due recent advancements brought forth through widespread adoption standards-based approaches combined together along best practices recommendations designed keep things running smoothly even amidst increasingly complex interconnected environments today’s digital landscape presents us daily basis regularly encounter during normal course business activities conducted online virtually everywhere around world wide web constantly evolving ever-changing fast pace manner indeed! --- ### 总结 综上所述,Cookies 的设计初衷即包含了防止恶意程序滥用个人信息的重要考量因素在里面,因此才会有如此严格的规定来约束它的行为表现形式等方面内容涉及到方方面面细节之处都需要格外留意才行哦!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值