本文介绍如何通过设置Cookie实现跨子域名的单点登录(SSO)功能,探讨了Cookie的安全设置方法,例如使用HTTPOnly防止XSS攻击,并提供了Java与JavaScript设置Cookie的示例。
有时候我们想用cookie在多个子域名系统SSO单点登录的时候,就可以在一个子系统登录成功之后将用户名等非私密的信息存入cookie,并设置cookie的domain为父级域名,这样其它子域名系统也能拿到这个cookie里面的信息。如果需要安全一点,可以自己写个加密的算法对cookies里面的内容加密,然后在另一个子系统逆过程解密校对。
java:
response.setHeader("Set-Cookie", "name=value; Path=/;Domain=.XXX.com;Max-Age=seconds;HTTPOnly");
PS:Domain=.XXX.com如果有两个子域名系统,如AAA.XXX.com,BBB.XXX.com,那么这样设置的话,这两个子域名包括父级域名都有这个cookie的访问权限
HTTPOnly是限制js中获取不了这个cookie,这样能有效的防止XSS攻击,窃取cookie内容
Path=/ 表示项目根目录下的所有文件可以访问这个cookie
js:设置cookie
document.cookie="name=value;Path=/;domain=.XXX.com";
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
