你不知道的cookie

最新推荐文章于 2023-10-06 23:26:01 发布
最新推荐文章于 2023-10-06 23:26:01 发布
阅读量404 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wade3po/article/details/127907632

提起cookie最基础的几个属性肯定是可以请求自动携带、大小、本地缓存、后端自动注入、携带cookie会引起跨域。而有几个不常用的却很少提及。

crossorigin

同源策略会引起跨域,而link、script、img、video、audio等几个标签不会引起跨域,而且,这些标签可以设置允许携带cookie的属性:

  • anonymous:它有一个默认值。它定义了一个 CORS 请求,该请求将在不传递凭证信息的情况下发送。
  • use-credentials:将发送带有凭据、cookie 和证书的 cross-origin 请求。

一般来说不用设置,不会携带,如果需要的话可以直接设置,就是没试过设置了允许携带是不是就会出现跨域了。

SameSite cookies

之前控制台经常看见这个属性,当时都没关注过,主要是应对跨站的问题。我们知道有个攻击叫做跨站请求伪造CSRF,设置这个就可以避免出现。

同站的定义是:eTLD+1相同即可。http://a.wade.com:80,wade.com就是eTLD+1。

比如下面的地址跟https://a.wade.com:80做比较:

  • https://b.wade.com:80,同站,二级域名不同
  • https://a.wade.com:80,同站,协议不同
  • https://a.wade.com:443,同站,端口不同
  • https://a.b.com:80,跨站,域不同

这就尴尬了,跨站请求伪造的条件就太容易形成了,所以chrome升级到51之后新增了SameSite属性,加强了CSRF攻击和用户追踪,有三个属性:

  • Strict:完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。
  • Lax:允许部分第三方请求携带 Cookie。链接,预加载请求,GET 表单,Ajax、iframe、img都不允许携带
  • None:都可以携带,但是要设置Secure,只能是https协议下生效。

现在默认的SameSite是Lax,一些旧网站控制台会有警告也是因为新浏览器导致的:

A parser-blocking, cross site (i.e. different eTLD+1) script

A cookie associated with a cross-site resource at was set without the SameSite attribute.

欢迎关注个人订阅号 coding个人笔记

wade3po
关注
提取谷歌游览器Cookie的几种方法
孤寒者的博客
07-31 1万+
提取谷歌游览器Cookie的几种方法
【SpringBoot】21、SpringBoot中使用Cookie实现记住登录
热门推荐
Asurplus
06-28 23万+
最近在做项目,甲方提出每次登录都要输入密码,会很麻烦,要求实现一个记住登录状态的功能,于是便使用Cookie实现该功能 一、Cookie 简介 Cookie,一种储存在用户本地终端上的数据,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当
第三方设置cookie提示Mark cross-site cookies as Secure to allow setting them in cross-site contex
橙-极纪元-JJYCheng
12-11 3352
Mark cross-site cookies as Secure to allow setting them in cross-site contexts Learn more: SameSite cookies explained 译文: 将跨站点cookie标记为安全,允许在跨站点上下文中设置它们使用SameSite=None标记的cookie也必须使用Secure标记,以便允许在跨站点上下文中设置它们。此行为可以防止用户数据通过安全的连接发送。通过更新cookie的属性来解决这个问题...
彻底理解浏览器cookie策略
qq_43783527的博客
10-06 2252
(1)cookie存在的原因因为http请求是无状态的,同一个用户从浏览器向A服务器发送两次请求,A服务器无法判断这两次请求是否是同一个用户。所以,浏览器提供了客户端携带cookie技术,让每次请求有状态。(2)后端使用cookie进行登录状态记录流程1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。同源策略是防止CSRF攻击的重要手段。最初,它的含义是指,A 网页设置的 Cookie,B 网页能使用A的cookie,除非这两个网页“同源”。协议相同
跨站cookies,SameSite
小朱的专栏
05-17 2万+
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute Because a cookie’s SameSite attribute was not set or is invalid, it defaults to SameSite=Lax, which will prevent the cookie from being sent in a cross-site reque
script为人知的标签属性
weixin_41900457的博客
09-02 680
普通引用 js加载与执行都会阻塞页面渲染与执行,等到js加载并执行完成后才会继续页面的渲染 async js加载会阻塞页面渲染,js加载后就会立即执行,执行时会阻塞页面渲染,有多个async的文件时,跟引入的顺序无关,谁先加载完就执行谁 defer js加载会阻塞页面渲染,js加载后会立即执行,等页面渲染完成后才执行,在 DOMContentLoaded 事件之前执行,有多个 defer 文件时,规范应该是按引入的顺序执行,但实际情况下并一定按原有顺序执行,所以多个 defer 引入需注意
SpringSession的源码解析(生成session,保存session,写入cookie全流程分析)
码农飞哥
04-12 5559
本文按照代码运行的顺序,一步步分析了session的创建,保存到redis,将sessionid交由cookie托管的过程。分析完源码之后,我们知道了session的创建和保存到redis主要是由RedisOperationsSessionRepository类来完成。将sessionid交由cookie托管主要是由DefaultCookieSerializer类来完成,下一篇我们将介绍读取session的过程。
js 通过cookie实现刷新变化树形菜单
10-25
接下来,需要掌握如何通过JavaScript来设置和读取cookie值,并且要知道如何操作DOM来动态地调整树形菜单的显示状态。 1. Cookie基本概念: Cookie是一种由Web服务器创建,并存储在客户端(通常是用户的浏览器中)的...
cookie机制
03-08
每当客户端向服务器发送请求时,浏览器都会附加存储的Cookie信息,从而让服务器知道是哪个用户在请求服务。Cookie可以包含多种信息,例如用户的登录凭证、偏好设置以及购物车内容等。 ### Cookie的类型 按照生命...
javascriptcookie 的问题详解
01-21
我也试着找用什么方法能把 cookie 的 domain 信息读取出来,可是很幸, 没有找到(知道你有没有什么方法能把 domain 信息给读出来, 如有,请赐教)出现这个问题的场景:刚开始的时候,是想让 本地(localhost.dev.xxx....
浏览器能否先设置cookie再跳转_如何快速技术升级?应对Chrome新版禁非法读取第三方Cookie...
weixin_39926014的博客
12-03 218
01 如何快速升级有同学来问我如何快速技术升级?以应对近期谷歌将在2月4日Chrome80版中对第三方Cookie的禁止非法读取。新规则是:仅“ SameSite=None; Secure ”的第三方Cookie才能被Chrome发送给服务器。简单说就是:第三方服务要想读取第三方Cookie,技术升级需要满足如下两个条件:1.在种Cookie时需按如下声明:Set-Cookie: my_cooki...
Chrome浏览器命令行启动参数
liuyukuan的专栏
06-18 5万+
Chrome浏览器命令行启动参数 http://blog.youkuaiyun.com/qq_32786873/article/details/70173265 http://blog.youkuaiyun.com/u012593626/article/details/44540485 1 2 说明 如何使用这些参数<br>chrome 谷歌浏览器命令行大全...
实现多个站点(SubDomain相同)共享同一用户登录状态
poplau的专栏
04-23 3460
在Forms验证模式下,实现多个站点(SubDomain相同)共享同一用户登录状态        原文地址:http://caomao.cnblogs.com/archive/2005/07/05/186606.html 今天一早看了dudu关于二级域名Cookie的问题及解决方法,认为dudu的原理解释是十分明确,能确定dudu的代码 FormsAuthentication.SetAuthC
Cross-site Scripting (XSS)
kezhen的专栏
03-26 5198
Overview Cross-Site Scripting (XSS) attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. XSS attacks occur when an attacke
chrome浏览器跨域Cookie的SameSite问题导致访问iframe内嵌页面异常
CoreyJu的博客
09-16 6万+
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute问题还原原因分析可能在 Chrome 80 中受到影响的场景如下解决方案 问题还原 原先一直访问正常的系统,最近打开页面一直加载出来。 初步分析,该系统为iframe内嵌第三方系统页面,将iframe中的链接复制出来可以单独访问,排除第三方系统的问题。 进一步尝试,将这个带有链接的iframe放在一个全新的html文件
服务器网站链接ip限制,apache服务器对同一IP地址的连接限制
weixin_33324435的博客
08-12 489
要使apache服务器做对同一IP地址的连接限制,需要mod_limitipconn来实现。一般需要手动编译。过模块作者也提供了一些编译好的模块,根据自己的apache版本可以直接使用。1。编译方式:tar zxvf mod_limitipconn-0.XX.tar.gzcd mod_limitipconn-0.XXmake apxs=/usr/local/apache/bin/apxs --...
如何处理前端js跨域问题-php
weixin_34221775的博客
04-01 379
前端程序使用extjs写,在本地测试,发送请求到服务器时,发现存在跨域的问题,cookie也没有set成功,于是乎在这里整理一下解决过程 由于篇幅较长,想看解决过程的可以翻到最后看总结1.跨域允许2.客户端无法携带跨域cookie3.因为加了withCredentials报文头,可是客户端知道服务器允允许报的错4.由于客户端知道服...
如何解决Chrome对HTTPS页面的CNZZ 统计代码报错?
weixin_34358365的博客
06-13 372
为什么80%的码农都做了架构师?>>> ...
如何知道自己的 cookie
最新发布
03-12
### 如何在浏览器中查看和管理 Cookie #### Chrome 浏览器中的操作方法 对于 Google Chrome 用户来说,想要查看和管理 Cookies 可以按照如下方式操作。打开 Chrome 的设置页面,导航到“隐私和安全”部分下的“清除浏览数据”,这里可以选择仅清除 Cookies 和其他站点数据或者自定义时间范围内的所有浏览记录等内容[^3]。 另外一种更细致的操作是在地址栏输入 `chrome://settings/siteData` 并回车进入专门针对网站数据(包括 Cookies)的管理界面,在这个界面上能具体看到各个网站存放在本地的数据详情,并支持单独删除某个站点的数据或是批量处理多条目。 #### Edge 浏览器中的操作方法 Microsoft Edge 提供了一个直观的方式让用户管理和调整其隐私选项。前往“设置”> “隐私、搜索和服务”的路径下找到有关于 Cookies 设置的部分。在此处仅能看到当前保存了多少来自同源的 Cookies ,还可以设定阻止某些类型的追踪技术以及手动添加例外情况来允许特定站点写入 Cookies 到设备上[^2]。 #### Firefox 浏览器中的操作方法 Mozilla Firefox 同样具备强大的内置工具用来保护个人隐私并给予用户充分的选择权去决定如何对待接收到的网络请求携带的信息片段即 Cookies 。要访问这些功能只需点击右上方菜单按钮 -> 更多 (三条横线图标) -> 隐私与安全;接着向下滚动直到看见增强型跟踪防护板块下面有关 cookies 的配置项即可进行相应修改。 #### Safari 浏览器中的操作方法 Apple 的 Safari 浏览器也提供了方便快捷的方法来进行此类维护工作。当处于 macOS 环境时,可以从屏幕顶部菜单栏选择 Safari 菜单项,之后依次点选偏好设置... > 隐私标签页。在这里可以执行诸如开启/关闭自动阻止所有的 cookie 功能、审查已有的 cookie 存储状况甚至一键清理掉选定的一批关联文件等动作[^4]。 ```python # Python 示例代码展示如何模拟获取浏览器cookies(仅为示意) import browser_cookie3 as bc for cookie in bc.chrome(domain_name='example.com'): print(f'{cookie.name}={cookie.value}') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值