谷歌插件Fetch在不同页面之间Cookie携带情况详解

原创 已于 2023-03-09 02:12:41 修改 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #html

于 2023-03-08 19:51:12 首次发布

content script 和 script inject 表现情况

在碰到content script 注入和用script标签注入一样,即使服务端有写入Cookie到域名下在该tab标签应用下也不会被保存,所以在发送时也无法自动携带,所以通过content script和<script>这种方式无法传输隐式传输cookie,只能通过background来先拿到cookie再进行传送

服务端往请求端写入Cookie,服务端做了跨域允许,不允许跨域就没必要讨论这个逻辑了(注意注入的网站如何是https的则不能使用http协议,浏览器不允许)

<?php
/**
 * 功能:授权验证父类
 * @author wangsen
 * @date 2021/07/10 10:52:00
 * @version 1.0.0.0
 * @brief
 **/

namespace app\controllers;

use app\behaviors\BeforeSendBehavior;
use Yii;
use yii\filters\Cors;

class ApiController extends Controller
{
    public function behaviors()
    {
        $behaviors = parent::behaviors();
        return array_merge($behaviors, ['corsFilter' => [
            'class' => Cors::class,
            'cors' => $this->corsConfig()
        ], BeforeSendBehavior::class]);
    }

    public function corsConfig()
    {
        $origin = Yii::$app->request->headers->get("Origin");
        return [
            'Origin' => [$origin],
            'Access-Control-Request-Method' => ['POST', 'PUT', 'OPTION', 'GET'],
            'Access-Control-Request-Headers' => ['Authorization', 'Content-Type'],
            'Access-Control-Allow-Credentials' => true,
            'Access-Control-Max-Age' => 3600,
            'Access-Control-Expose-Headers' => ['X-Pagination-Current-Page'],
        ];
    }
}

d371003be9f44dd786d4b882b3ebaa75.png

 插件端采用<script>方式注入js脚本

dfb2a6ed8a72448eaaf1f0a22a94f710.png

inject-fetch.js 脚本

fetch("https://test.zfscrmteam.top:444/cookie/index", {
    "referrer": "https://blog.youkuaiyun.com/qq_36361250/article/details/114270670",
    "referrerPolicy": "unsafe-url",
    "body": null,
    "method": "GET",
    "mode": "cors",
    "credentials": "include"
}).then(e => console.log(e));

在当前应用下始终写不进Cookie

a599dea7755e41ce94fc687cb39a83f0.png 同域情况下注入和<script> 是会自动携带Cookie的,当然这种情况插件基本用不到

6c0a34737e9c4499ae7d2b5385a39240.png 

归根结底,凡是当前tab应用中没有存放Cookie的,这个域下面的Cookie就不会自动携带

42e84b70c6564e01a0edc4146c0c8ea0.png 

结论就是content script 和 script 脚本注入方式,都必须显式地将cookie放在body中传输,而不能由浏览器自动装填在header.Cookie传给后端

popup.html 和 background.js

这两者是相似的,只要服务端允许跨域,则都可以请求服务端,但奇特的是,如果host_permission不设置,设置了content script match 则携带Cookie

87ebe6bddc124545bdb3185e1175ade5.png

 

3e91e87e7ad541ee9ffd32244fade055.png

若content script 中没有匹配,则不携带

f48f837a5cc5463cb52a41c114e7f897.png 

 

eeb11d3bbd5b47b09a2365b9ef003cce.png

 若在host_permissions里面配置,则又会携带,所以证明content script中的matches和host_permissions竟然有交集,这个细节还是挺隐蔽的

91331ab11bf246b68c829881424970f4.png

 648f7d0c165c4e47bcf3ef296a37e6ec.png

 完全无权限的情况探究下background.js,请求中不懈怠Cookie

4416f78ac40c43cc84a2e54f5bffc2bf.png

 在content script 进行matches匹配,效果同popup.html ,证明在权限上,两者表现相同

caac0ef288ac4398bc82ae8d1926d91a.png

 结论

在处理Cookie相关事务时,想默认携带Cookie,只能采用popup.html或者background的方式,同时在content_scripts.matches 不能满足时,要添加host_permisssions来获取权限

 

【Python爬虫系列】_010.requests库详解(重点)
weixin_50296259的博客
09-04 1596
常用方法requests.get() # 发送get请求# 请求参数可以直接放在url的?后面,也可以放在字典里,传递给params参数requests.post() # 发送post请求# 请求参数要放在字典中,然后传递给data参数requests有两个响应对象response响应对象包含:响应行、响应头、空行、响应体(通过content、text、json获取)
Python 接口并发测试详解
悦分享
10-23 8448
性能测试是通过自动化测试工具模拟多种正常、峰值及异常负载条件对系统的各项性能指标进行的测试。负载测试和压力测试都属于性能测试,两者可以结合进行。通过负载测试,确定在各种工作负载下系统的性能,目标是测试当负载逐渐增加时,系统各项性能指标的变化情况。压力测试是通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大服务级别的测试。性能测试的重点是测试在并发条件下服务或系统的瓶颈所在,从而优化相关功能,可能涉及软件及硬件的多方面改进。由此可见,性能测试对整个产品非常重要,甚至可以决定一个产品是否能长久发
fetch 自动加cookie_尝试使用react和fetch获取然后发送cookie
weixin_33806343的博客
12-31 647
I've been trying to implement some authentication component in my app for a few hours now, and I still don't understand some of the things that are happening.Basically, I'd like to send a POST request...
Chrome 插件各模块使用 Fetch 进行接口请求
guoqkmiss的博客
03-26 4455
Chrome插件中的网络请求和普通web是一样的,只不过从常用的AJAX换成了Fetch进行跨域请求的时候一定要配置文件一般请求都需要和cookies进行配合,关于可以查看【Chrome 浏览器插件 cookies API 解析。
使用fetch携带cookie
qq_45903688的博客
03-03 2278
fetch携带cookie
fetch跨域携带cookie
高宇辰
09-15 4417
fetch方法默认是不携带cookie的,如果需要携带cookie,加上以下字段即可,跨域申请中需要带有cookie时,可在fetch方法的第二个参数对象中增加credentials属性,并将值设置为”include”。fetch能够设置不同的模式使得申请无效.,模式可在fetch方法的第二个参数对象中定义。
fetch 自动加cookie_Cookie设置、读取以及是否自动携带问题
weixin_39882317的博客
12-31 1707
不行! 只能向当前域或者更高级域设置cookie例如 client.com不能向 a.client.com设置cookie, 而 a.client.com可以向 client.com设置cookie读取cookie情况同上客户端设置cookie与服务端设置cookie有什么区别?无论是客户端还是服务端, 都只能向自己的域或者更高级域设置cookie例如 client....
fetch请求中的跨域和携带Cookies问题
热门推荐
ximikang的博客
03-01 1万+
fetch解读 Fetch API 提供了一个 JavaScript 接口,用于访问和操纵 HTTP 管道的一些具体部分,例如请求和响应。它还提供了一个全局 fetch() 方法,该方法提供了一种简单,合理的方式来跨网络异步获取资源。这种功能以前是使用 XMLHttpRequest 实现的。Fetch 提供了一个更理想的替代方案,可以很容易地被其他技术使用,例如Service Workers。 [问题]fetch请求中的跨域和携带Cookies问题 在有些请求中会遇到希望通过请求来访问不同源的api,并且希
前端缓存策略详解
[前端缓存策略详解](https://segmentfault.com/img/remote/1460000042594586) # 摘要 随着Web技术的发展,前端缓存策略已成为提升网站性能和用户体验的重要手段。本文从基础概念与原理出发,深入探讨了前端缓存的...
Vue-Element-Admin权限认证流程详解:确保安全的代码级机制
[Vue-Element-Admin权限认证流程详解:确保安全的代码级机制](https://ucc.alicdn.com/pic/developer-ecology/bf81081490ab432dba791d26d3a866f3.png?x-oss-process=image/resize,s_500,m_lfit) # 摘要 本文旨在...
Fetch-crx插件
04-03
语言:English 简单而强大的以太坊钱包 Fetch是一款功能强大且简单的以太坊钱包,可轻松查看交易的最佳价格并一键进行交易。 -扫描并自动查找200多个令牌中的资产。 切勿输入其他合同地址。 -查看来自20多家交易所的价格,以进行皮划艇风格的交易。 -一键式进行匿名和分散交易。 -自动优化任何交易的天然气,因此您不必担心。 -在任何平台上使用。 桌面,Web和浏览器扩展。 移动应用即将推出! -完全安全-您的钥匙永远是您自己的! -简单的客户支持! 我们很乐意为我们的用户提供帮助。 了解更多信息:-获取首页-https://hellofetch.co-下载桌面版Fetch-https://hellofetch.co/download-在网络上使用Fetch-https://app.hellofetch.co
前端知识宝典
qq_37759901的博客
01-29 1693
搜索框输入,文本剪辑器实时保存代码实现思路如下:(利用定时器,每次触发先清掉以前的定时器,从新开始)
推荐开源项目:fetch-cookie —— 简化你的跨域Cookie处理之旅
gitblog_00045的博客
06-21 458
推荐开源项目:fetch-cookie —— 简化你的跨域Cookie处理之旅 项目介绍 在Web开发的复杂世界里,管理Cookies一直是前后端开发者面临的挑战之一。特别是当涉及到跨域请求时,自动处理Cookie的存储与传递变得尤为关键。fetch-cookie正是为解决这一痛点而生,它是一个轻量级的装饰器库,旨在让你的fetch函数轻松支持Cookie的自动管理。 项目技术分析 fetch-...
强力推荐:fetch-cookie - 简化你的跨域cookie管理
最新发布
gitblog_00473的博客
08-29 906
强力推荐:fetch-cookie - 简化你的跨域cookie管理 项目介绍 ????fetch-cookie是一款精心设计的npm包,旨在为fetch函数增添自动化的cookie存储和注入功能。对于那些在Node.js环境或是使用node-fetchFetch API兼容库的前端开发者来说,这是处理跨请求cookie不可或缺的工具。通过简洁的接口,它无缝集成到你的现有代码中,无需复杂的配置即可实...
axios/fetch/ajax面试应用宝典-跨域请求携带cookie
m0_46176711的博客
08-30 1102
一篇文章,带你了解axios/fetch/ajax兄弟3人的差异,以及跨域请求携带cookie的案列分享
同源、跨域(以及ajax、fetch携带cookie
xiashiqi_blog的博客
12-12 3056
一、同源: 源(origin)就是协议、域名和端口号。 以上url中的源就是:http://www.company.com:80 若地址里面的协议、域名和端口号均相同则属于同源。 以下是相对于 http://www.a.com/test/index.html 的同源检测 • http://www.a.com/dir/page.html ----成功 • http://www.child.a.c...
fetch 关于设置cookie问题
泡泡堂
10-30 1万+
在reactnaitve中用fetch请求数据时,有时需要用到cookie记录登陆状态,否则后台会返回未登陆状态 今天在遇到这个问题时,查了一下资料,说fetch方法默认是不携带cookie,需要在代码里加入一行代码credentials: 'include' ,亲测了一下。确实有效,至于深处原因,待有时间再查看, 注意:当把method设为“GET”,ios平台就会没办法携带设置的cook...
fetch请求cookie设置
qq_35513792的博客
08-09 6983
fetch中默认是不带cookie的,如果需要带上cookie需要设置 credentials: 'same-origin' 或者 credentials: 'include' 最好复制过去,因为手打打错一个字母迷了好久
ATS 5.2.1中Background-Fetch插件调研笔记
雪峰流云
05-01 1920
简介这是Apache Traffic Server(简称ATS)中的一个插件, 允许你从源站主动获取Object内容并填充到缓存中, 当你的所有或是大部分client request都是byte-ranged类型时, 这特别有用. 目前ATS并不能缓存byte0-range类型的request/response.功能检查回源的响应, 在原始的(客户端)请求满足下面条件时, 是否触发一条backgro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

森叶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值