iframe嵌套第三方页面跨域带cookie问题

已于 2022-06-15 11:19:41 修改
阅读量2.7w 收藏 124
点赞数 20
CC 4.0 BY-SA版权
分类专栏: Nginx 文章标签: nginx java
于 2022-04-09 16:32:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhengaog/article/details/124062103
当192.168.40.26服务器上的项目嵌入192.168.40.67的第三方系统时,由于跨域限制导致登录成功后页面无法跳转。分析原因是浏览器不允许携带cookie跨域。解决方案是在192.168.40.26上安装Nginx并配置代理转发,使请求看起来来自同一IP,从而允许cookie传递,成功解决页面跳转问题。前端代码也需要相应调整,将访问后端的IP改为代理IP。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题描述:

192.168.40.26服务器上有一个项目,某个页面嵌入了第三方系统平台,
第三方系统平台服务器地址是:192.168.40.67
页面嵌入成功,只能访问到登录页,登陆成功但是页面不进行跳转。
如果单独登录第三方平台,如下图:
在这里插入图片描述

嵌入第三方后页面 ,如下图:
在这里插入图片描述
在这里插入图片描述
提示正常登陆成功,却没有跳转页面。页面晃动一下,但还是停留在登陆页面上。

问题分析:

浏览器根据IP存储cookie192.168.40.26访问192.168.40.67时,浏览器不允许携带cookie过去,发生了跨域。
嵌入页面时使用192.168.40.26IP地址访问第三方192.168.40.67登录接口时登陆成功,返回了证明登录成功的响应消息。但是再次请求别的接口时需要携带证明登陆成功的身份信息,而ip地址不同,浏览器阻止了携带cookie,导致请求失败。
嵌套页面未携带cookie去请求,192.168.40.26访问192.168.40.67的页面也就失败了。
需要把地址统一,统一之后其实是共用一个cookie

192.168.40.26主机上安装nginx,并且进行配置转发请求。
使用nginx转发时,浏览器判断IP一致,将请求头内容一起携带过去请求第三方接口。

问题解决:

192.168.40.26上安装nginx,使用nginx代理转发端口。
具体操作如下:
一、安装nginx
Windows请参看:https://blog.youkuaiyun.com/zhengaog/article/details/117993542
Linux请参看:https://blog.youkuaiyun.com/zhengaog/article/details/119485385
只看安装nginx和修改配置部分即可。

二、修改nginx配置
Linux系统:Nginx全局配置/etc/nginx/nginx.conf
Windows系统:在自己安装目录找到nginx.conf文件
在这里插入图片描述
完成配置后,
192.168.40.26:18080访问192.168.40.26:20080时,nginx将会代理转发到访问192.168.40.67:8090
192.168.40.26:18080访问192.168.40.26:10024时,nginx将会代理转发到访问192.168.40.67:10024
如果有多个server需要nginx转发,可以并行写多个server。

此时页面正常跳转访问。

需要注意:

需要注意的是如果第三方服务做了前后端分离,需要把修改前端访问后端时的IP地址为代理IP地址。
例如下图:
在这里插入图片描述
前端代码重新打包部署一下就可以了。

记录过程。欢迎指正!欢迎补充!

完美解决Iframe嵌入帆软报表出现cookie写不进去的问题
帆软爱好者的专栏
02-29 2952
那报表后续的请求如何加上这个fine_auth_token,通过观察,我们发现,如果给报表url上加上fine_auth_token,后续的请求中的Refer也会有这个fine_auth_token。我们可以这样想,如果帆软内部获取token,如果从cookie中获取不到,就从url上获取,如果url上也获取不到,那么就从请求Refer请求头中获取也可以拿到这个token了。从上面看到,如果从cookie中没有获取到,就从请求头中获取,还是没有就从paramter中获取。
iframe嵌入页面通信
m0_51431448的博客
09-07 6920
在项目中可能会通过iframe直接将另一个页面嵌入进来,某些场景下还可能会进行一些消息的传递通信。之前做过一次,就是我们开发的主系统,然后下面还有很多子系统,子系统都是通过iframe嵌入进来的,然后为了实现某些需求,需要将token传递给子系统,拱子系统使用,但是当时一直忙着开发,忘记记录了,所以这篇算是补上吧嵌入进来的页面的window跟我们现在的window已经不是同一个了,更不是同一个document。
解决iframe内嵌第三方导致cookie无法携问题
xiongjin8949的博客
04-10 1326
springboot+vue使用iframe内嵌导致cookie无效
iframe嵌套其他网页项目后被嵌套的项目设置cookie无效
最新发布
诚实可靠小郎君的博客
06-06 474
1.同源策略,需要将两个项目都放在同一个名下(同个名的子名也算),例如:A使用iframe嵌套B,A名:https://www.ceshiyuming.a.com;B名:https://www.ceshiyuming.b.com这个主要是必须是https并且要部署在生产环境,自己调试太麻烦2.在设置cookie的时候附加SameSite=none;
[转帖]iframe访问cookie/session问题
凌冰玉的专栏
12-02 1286
iframe访问cookie/session问题, A站iframe引用其它站(B站)的内容时,B站的页面获取不到B站种下的Cookies。 最终解决方案: 在登陆页面,注册页面(凡是有写入cookie/session)的地方都要: Response.AddHeader("P3P", "CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI
深入浅出iframe(+ iframe嵌套第三方页面cookie问题
qq_45859670的博客
08-30 1万+
iframe标签规定一个内联框架。内联框架就是在一个页面中嵌入另一个页面。由于iframe可能在某些方面不符合标准网页设计的理念,已经被HTMLl5抛弃,目前的HTML5不再支持它了。
关于Iframe如何访问Cookie和Session的解决方法
10-27
本篇文章小编将为大家介绍,关于Iframe如何访问Cookie和Session的解决方法,有需要的朋友可以参考一下
Iframe访问Cookie和Session的解决方法(PHP)
.
09-28 2636
为了在Iframe访问Cookie,我们需要将Cookie的SameSite属性设置为"None",以允许Cookie站请求中发送。Iframe是一种在网页中嵌入其他网页的标签,它可以用于在当前页面中展示来自不同的内容。综上所述,通过设置Cookie的SameSite属性和使用POST消息传递Session ID,我们可以解决Iframe访问Cookie和Session的问题。需要注意的是,为了确保安全性,我们应该仅允许特定的名访问该Iframe,可以通过设置HTTP响应头来实现。
通过iframe嵌套的不同名的页面之间处理cookie存储失败的问题——js技能提升
yehaocheng520的博客
07-22 2492
通过iframe嵌套的不同名的页面之间处理cookie存储失败的问题——js技能提升
iframe 传递 cookie
陈荣亮的博客
12-01 1万+
最近在处理 iframe 通讯(也就是PostMessage的应用,有兴趣可以看一下我的文章),发现了个比较头疼的问题:在 iframe 环境中,无法读取内嵌网页的 cookie ,得到的结果都是空值。 本来原计划构思,iframe 通过 PostMessage 实现数据共享,但这个问题的出现让我蛋碎不已…(´༎ຶД༎ຶ`) 如果不解决,前面的努力就等于全白搭了。 于是乎我便开始了各种查文档和解决方案。据文档说明: Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite
解决IE浏览器中Iframe访问不能读写cookie问题
让人生充满永动的势能
03-24 1637
摘要: 本文讲的是解决IE浏览器中Iframe访问不能读写cookie问题, 假设A嵌套了B 解决方法:第一种很简单:将系统B设置为可信站点。第二种:IE设置隐私策略:在Internet选项->隐私->高级,将“替代自动cookie处理”的选项打上,并“第一方cookie”和“第三方cookie 解决方法: 第一种很简单: 将系统B设置为可信站点。
iframe与session失效问题的解决办法
10-26
通过这种方式,可以解决在IE浏览器中由于P3P隐私设置导致的iframecookie丢失问题,进而解决session失效导致的用户频繁重新登录的问题。这个方法在技术上是可行的,但需要网站管理员操作,确保P3P声明符合实际的...
使用Iframe嵌套其他系统页面遇到的问题
热门推荐
第一行代码
07-14 5万+
之前需要将一个其他的系统页面集成到现在主要使用的一个平台上,因为这个系统使用的是jsp的页面,另一个是augular的页面,并且为了保持项目的完整性和较小的改动,所以使用了iframe来将另一个页面集成进来。 如何使用iframe嵌套页面 使用frameset标签即可将其他的页面集成到这个当前的页面,这个frame标签的作用其实挺大的 第一,可以防止页面刷新,将其他的一些刷新操作放到fram...
iframe三方页面嵌入
m0_49014420的博客
05-28 231
【代码】iframe三方页面嵌入。
iframecookie的使用问题
没有什么能够阻挡,你对自由的向往
12-01 1973
www.a.com页面里面访问一个iframe页面iframe页面里面套的是www.b.com的页面。 如果www.b.com下面的页面如果想要保存cookie发送出去, 在IE下面是行不通的。 在IE环境下面只能发送session cookie,而不能发送本地cookie。 也就是说必须把cookie的生命周期设置成-1,即浏览器进程。...
Cookie 解决方案(IFrame
qq_21138747的博客
10-04 1354
IFrame思路:假设有a.haorooms.com/text.html和b.haorooms.com/text.html两个页面,通过a.haorooms.com/text.html页面去修改b.haorooms.com/text.html页面的本地数据: ① 在a.haorooms.com/text.html页面创建一个iframe,嵌入b.haorooms.com/text.html页面。 ② a.haorooms.com/text.html页面通过postMessage传递指定格式的消息给b
通过iframe嵌入三方系统时遇到的问题及解决方案
_老逄
10-30 2万+
总结在iframe嵌入第三方系统时遇到的访问问题
iframe访问出现的cookie问题,提供两种解决方案
I_No_dream的博客
07-20 7366
最近在java项目对接时出现的一个问题。A系统嵌入B系统页面时,使用iframe去嵌入B系统页面丢失sessionid,导致B系统认为是未进行登录的请求,从而跳转到了B系统登录页。 解决方法查看此博客:https://www.cnblogs.com/suizhikuo/p/3384972.html 总结原因是因为这种嵌入方法触发了P3P,也就是个人隐私安全平台项目(The Platform forPrivacy Preferences Project)的一个标准,为了保护用户隐私,从而导致A系统嵌入B系统,
iframe cookie
xgh_2012的专栏
12-06 759
今天遇到一个问题,在iframe下,获取cookie的时候,始终获取到的值为空 IE默认阻止第三方cookie,如果想使用,添加header header头:P3P: CP=CAOPSA OUR PHP : header('P3P: CP=CAO PSA OUR'); JS:Response.AddHeader("P3P", "CP=CAO PSA OUR")
iframe嵌套页面出现
05-13
<think>好的,我现在需要解决用户提出的关于iframe嵌套页面时出现的问题。用户之前提到了通过iframe嵌入后页面无法加载、通信以及cookie问题,所以我要结合之前的引用内容来整理解决方案。 首先,根据引用[1]和[2],问题通常是因为浏览器的同源策略限制了不同名、端口或协议之间的交互。用户遇到的情况可能包括无法加载iframe内容或无法进行通信。我需要先明确常见的解决方案有哪些。 接下来,引用[3]提到了通信的解决方案,比如使用postMessage或者中间代理页面(proxy)。同时,引用[4]和[5]讨论了cookie的SameSite属性和服务器设置的问题。这些方面都需要涵盖到。 我应该分步骤来解答,首先处理加载问题,然后是通信,最后是cookie问题。每个步骤需要给出具体的方法,比如设置CORS头、调整SameSite属性、使用postMessage等。同时,要确保用户理解每种方法的适用场景,比如主相同时可以用document.domain,不同时用postMessage或代理。 还要注意用户提到的Vue3项目中通过路由meta获取iframe的URL,可能需要检查URL是否正确,以及iframe的加载策略。比如,是否需要添加sandbox属性或调整X-Frame-Options。 需要检查是否有遗漏的解决方案,比如JSONP,但考虑到安全性,可能不推荐。此外,服务端代理也是一个选项,但可能需要后端配合。 最后,生成相关问题时要覆盖用户可能进一步询问的点,比如如何选择最佳方案、具体实现细节或常见错误排查。这样用户可以有后续的问题继续深入。</think>针对iframe嵌套页面时出现的问题,以下是完整的解决方案(参考多个技术文档): ### 一、加载问题解决方案 1. **主相同场景**: - 使用`document.domain`降:当主页面iframe页面相同时(如a.com与b.a.com) ```javascript // 主页面iframe页面都设置 document.domain = 'a.com'; ``` 注意:仅适用于主相同且需要双方页面主动设置[^2] 2. **加载白名单**: - 服务端设置`X-Frame-Options`响应头: ```nginx add_header X-Frame-Options "ALLOW-FROM http://your-domain.com"; ``` - 或使用新标准`Content-Security-Policy`: ```nginx add_header Content-Security-Policy "frame-ancestors 'self' http://your-domain.com"; ``` ### 二、通信解决方案 1. **postMessage API**(推荐方案): ```javascript // 父页面发送消息 const iframe = document.getElementById('myIframe'); iframe.contentWindow.postMessage({ action: 'update' }, 'https://child-domain.com'); // 子页面接收 window.addEventListener('message', (event) => { if (event.origin !== 'https://parent-domain.com') return; console.log('收到消息:', event.data); }); ``` 2. **代理iframe方案**(适用于复杂场景): - 在子页面创建与父页面的代理iframe ```javascript // 子页面创建代理iframe const proxyIframe = document.createElement('iframe'); proxyIframe.src = 'https://parent-domain.com/proxy.html'; document.body.appendChild(proxyIframe); // 通过代理页面中转消息[^3] ``` ### 三、Cookie问题 1. **SameSite属性设置**: ```http Set-Cookie: sessionId=abc123; SameSite=None; Secure ``` 要求:必须HTTPS协议且`Secure`属性同时存在[^4] 2. **CORS配置**: ```nginx add_header 'Access-Control-Allow-Origin' 'https://parent-domain.com'; add_header 'Access-Control-Allow-Credentials' 'true'; ``` ### 四、Vue3项目最佳实践 ```vue <template> <iframe :src="frameSrc" @load="handleIframeLoad" ref="frameRef" class="frame-iframe" /> </template> <script setup> import { ref, unref } from 'vue'; import { useRoute } from 'vue-router'; const currentRoute = useRoute(); const frameSrc = ref(''); if (unref(currentRoute.meta)?.frameSrc) { frameSrc.value = unref(currentRoute.meta.frameSrc); } const handleIframeLoad = () => { // 访问需确保已解决CORS问题 const iframeDoc = frameRef.value.contentWindow?.document; // 建议使用postMessage代替直接DOM操作 }; </script> ```
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值