iframe嵌套第三方页面跨域带cookie问题

原创 已于 2022-06-15 11:19:41 修改 · 2.8w 阅读 · 125 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #java

于 2022-04-09 16:32:34 首次发布
当192.168.40.26服务器上的项目嵌入192.168.40.67的第三方系统时,由于跨域限制导致登录成功后页面无法跳转。分析原因是浏览器不允许携带cookie跨域。解决方案是在192.168.40.26上安装Nginx并配置代理转发,使请求看起来来自同一IP,从而允许cookie传递,成功解决页面跳转问题。前端代码也需要相应调整,将访问后端的IP改为代理IP。

问题描述:

192.168.40.26服务器上有一个项目,某个页面嵌入了第三方系统平台,
第三方系统平台服务器地址是:192.168.40.67
页面嵌入成功,只能访问到登录页,登陆成功但是页面不进行跳转。
如果单独登录第三方平台,如下图:
在这里插入图片描述

嵌入第三方后页面 ,如下图:
在这里插入图片描述
在这里插入图片描述
提示正常登陆成功,却没有跳转页面。页面晃动一下,但还是停留在登陆页面上。

问题分析:

浏览器根据IP存储cookie192.168.40.26访问192.168.40.67时,浏览器不允许携带cookie过去,发生了跨域。
嵌入页面时使用192.168.40.26IP地址访问第三方192.168.40.67登录接口时登陆成功,返回了证明登录成功的响应消息。但是再次请求别的接口时需要携带证明登陆成功的身份信息,而ip地址不同,浏览器阻止了携带cookie,导致请求失败。
嵌套页面未携带cookie去请求,192.168.40.26访问192.168.40.67的页面也就失败了。
需要把地址统一,统一之后其实是共用一个cookie

192.168.40.26主机上安装nginx,并且进行配置转发请求。
使用nginx转发时,浏览器判断IP一致,将请求头内容一起携带过去请求第三方接口。

问题解决:

192.168.40.26上安装nginx,使用nginx代理转发端口。
具体操作如下:
一、安装nginx
Windows请参看:https://blog.youkuaiyun.com/zhengaog/article/details/117993542
Linux请参看:https://blog.youkuaiyun.com/zhengaog/article/details/119485385
只看安装nginx和修改配置部分即可。

二、修改nginx配置
Linux系统:Nginx全局配置/etc/nginx/nginx.conf
Windows系统:在自己安装目录找到nginx.conf文件
在这里插入图片描述
完成配置后,
192.168.40.26:18080访问192.168.40.26:20080时,nginx将会代理转发到访问192.168.40.67:8090
192.168.40.26:18080访问192.168.40.26:10024时,nginx将会代理转发到访问192.168.40.67:10024
如果有多个server需要nginx转发,可以并行写多个server。

此时页面正常跳转访问。

需要注意:

需要注意的是如果第三方服务做了前后端分离,需要把修改前端访问后端时的IP地址为代理IP地址。
例如下图:
在这里插入图片描述
前端代码重新打包部署一下就可以了。

记录过程。欢迎指正!欢迎补充!

Iframe访问Cookie和Session的解决方法(PHP)
.
09-28 2897
为了在Iframe访问Cookie,我们需要将Cookie的SameSite属性设置为"None",以允许Cookie站请求中发送。Iframe是一种在网页中嵌入其他网页的标签,它可以用于在当前页面中展示来自不同的内容。综上所述,通过设置Cookie的SameSite属性和使用POST消息传递Session ID,我们可以解决Iframe访问Cookie和Session的问题。需要注意的是,为了确保安全性,我们应该仅允许特定的名访问该Iframe,可以通过设置HTTP响应头来实现。
完美解决Iframe嵌入帆软报表出现cookie写不进去的问题
帆软爱好者的专栏
02-29 3523
那报表后续的请求如何加上这个fine_auth_token,通过观察,我们发现,如果给报表url上加上fine_auth_token,后续的请求中的Refer也会有这个fine_auth_token。我们可以这样想,如果帆软内部获取token,如果从cookie中获取不到,就从url上获取,如果url上也获取不到,那么就从请求Refer请求头中获取也可以拿到这个token了。从上面看到,如果从cookie中没有获取到,就从请求头中获取,还是没有就从paramter中获取。
解决chrom浏览器iframe嵌套cookie问题
火焰云的博客
01-19 7055
chrom浏览器环境下当前网站被第三方iframe嵌套,如何保证cookie值成功写入 1、保证请求的url必须是https协议。 2、response头部设置 response.setHeader(“Set-Cookie”,ut+“Path=*; SameSite=None; Secure”);
cookies问题的解决(含iframe问题
冰城警幻的博客
07-09 2079
近几天在进行cookies设置的时候,碰到了问题。可以分为两类:1.同根名,不同二级子名下的;2.不同名的。  一、针对第一种,可以使用如下方式进行解决(JS代码):  1.先在a.yourdomain.com设置cookies:  function setCo
更改本地IP
最新发布
m0_72165397的博客
10-16 1055
我们是在嵌入式Linux系统(SA8797)上,可能使用传统的net-tools(ifconfig)或iproute2(ip命令)来配置网络。由于嵌入式系统可能只安装了其中一种,我们将提供两种方法。注意:更改IP地址可能需要root权限,并且更改后可能会影响当前网络连接。
关于Iframe如何访问Cookie和Session的解决方法
10-27
本篇文章小编将为大家介绍,关于Iframe如何访问Cookie和Session的解决方法,有需要的朋友可以参考一下
深入浅出iframe(+ iframe嵌套第三方页面cookie问题
qq_45859670的博客
08-30 1万+
iframe标签规定一个内联框架。内联框架就是在一个页面中嵌入另一个页面。由于iframe可能在某些方面不符合标准网页设计的理念,已经被HTMLl5抛弃,目前的HTML5不再支持它了。
通过iframe嵌套的不同名的页面之间处理cookie存储失败的问题——js技能提升
yehaocheng520的博客
07-22 2834
通过iframe嵌套的不同名的页面之间处理cookie存储失败的问题——js技能提升
iframe与session失效问题的解决办法
10-26
通过这种方式,可以解决在IE浏览器中由于P3P隐私设置导致的iframecookie丢失问题,进而解决session失效导致的用户频繁重新登录的问题。这个方法在技术上是可行的,但需要网站管理员操作,确保P3P声明符合实际的...
解决iframe嵌套第三方网页,导致鉴权失败无法登录的问题
老衲的少女心i~
05-23 2万+
目录前言一、iframe是什么?二、401 (Unauthorized)三、解决总结 前言 最近遇到的一个问题,老项目的第三方iframe嵌入的网页,无法正常登录了。 定位问题,发现: 控制台报错401 (Unauthorized),导致的无法正常登录。是因为我们iframe问题,产生了,导致我们的cookie无法共享。 提示:以下是本篇文章正文内容,下面案例可供参考 一、iframe是什么? HTML 内联框架元素 (< iframe >) 表示嵌套的browsing contex
safari,opera嵌入iframe页面cookie读取问题解决方法
09-05
然而,由于浏览器的安全策略,特别是对于第三方cookie的处理,开发者可能会遇到在特定浏览器如Safari、Opera以及某些使用特定内核的搜狗浏览器中无法读取`iframe`内的cookie问题。这个问题主要源于浏览器对第三方...
iframe 传递 cookie
陈荣亮的博客
12-01 1万+
最近在处理 iframe 通讯(也就是PostMessage的应用,有兴趣可以看一下我的文章),发现了个比较头疼的问题:在 iframe 环境中,无法读取内嵌网页的 cookie ,得到的结果都是空值。 本来原计划构思,iframe 通过 PostMessage 实现数据共享,但这个问题的出现让我蛋碎不已…(´༎ຶД༎ຶ`) 如果不解决,前面的努力就等于全白搭了。 于是乎我便开始了各种查文档和解决方案。据文档说明: Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite
解决IE浏览器中Iframe访问不能读写cookie问题
让人生充满永动的势能
03-24 1659
摘要: 本文讲的是解决IE浏览器中Iframe访问不能读写cookie问题, 假设A嵌套了B 解决方法:第一种很简单:将系统B设置为可信站点。第二种:IE设置隐私策略:在Internet选项->隐私->高级,将“替代自动cookie处理”的选项打上,并“第一方cookie”和“第三方cookie 解决方法: 第一种很简单: 将系统B设置为可信站点。
[转帖]iframe访问cookie/session问题
凌冰玉的专栏
12-02 1325
iframe访问cookie/session问题, A站iframe引用其它站(B站)的内容时,B站的页面获取不到B站种下的Cookies。 最终解决方案: 在登陆页面,注册页面(凡是有写入cookie/session)的地方都要: Response.AddHeader("P3P", "CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI
解决iframe内嵌第三方导致cookie无法携问题
xiongjin8949的博客
04-10 2051
springboot+vue使用iframe内嵌导致cookie无效
Cookie 解决方案(IFrame
qq_21138747的博客
10-04 1385
IFrame思路:假设有a.haorooms.com/text.html和b.haorooms.com/text.html两个页面,通过a.haorooms.com/text.html页面去修改b.haorooms.com/text.html页面的本地数据: ① 在a.haorooms.com/text.html页面创建一个iframe,嵌入b.haorooms.com/text.html页面。 ② a.haorooms.com/text.html页面通过postMessage传递指定格式的消息给b
通过iframe嵌入三方系统时遇到的问题及解决方案
热门推荐
_老逄
10-30 2万+
总结在iframe嵌入第三方系统时遇到的访问问题
iframe访问出现的cookie问题,提供两种解决方案
I_No_dream的博客
07-20 7586
最近在java项目对接时出现的一个问题。A系统嵌入B系统页面时,使用iframe去嵌入B系统页面丢失sessionid,导致B系统认为是未进行登录的请求,从而跳转到了B系统登录页。 解决方法查看此博客:https://www.cnblogs.com/suizhikuo/p/3384972.html 总结原因是因为这种嵌入方法触发了P3P,也就是个人隐私安全平台项目(The Platform forPrivacy Preferences Project)的一个标准,为了保护用户隐私,从而导致A系统嵌入B系统,
Cookie存储问题
qq_43750656的博客
09-09 3356
单点登录模式,如果是前后端分离,则暴露前端地址,检测跳转的前端地址中有没有指定的token,如果有则存储token并放行,如果没有,则校验cookie或sessionStorage中有没有,有则放行,没有则重定向到sso统一登录页面进行登录,并且传递服务器的地址,登录成功后跳转至服务器,服务器校验后重新重定向到前端地址,如果直接访问服务器地址,则还是校验有没有携token,如果有,继续校验,没有检测请求头或者cookie,都没有则重定向到sso统一登录页面。可通过chrome插件调整。
目前的浏览器 禁止第三方cookie 如何解决问题
08-13
现代浏览器(如 Chrome、Firefox、Safari)为了增强隐私保护,**默认限制第三方 Cookie(Third-party Cookies)**。这在请求中尤其明显,尤其是在嵌套iframe 中的场景(如广告、登录弹窗等)。 --- ## ✅ 问题背景 **第三方 Cookie 是什么?** 当一个网站 A(`https://site-a.com`)加载了网站 B 的资源(如 iframe、图片、脚本),而网站 B 的 Cookie 被设置为在网站 A 的上下文中发送时,这个 Cookie 就被称为“第三方 Cookie”。 **为什么浏览器要限制第三方 Cookie?** - 防止站追踪(Cross-site tracking) - 保护用户隐私 - 防止 CSRF(站请求伪造) --- ## ✅ 解决方案汇总 ### ✅ 方案一:使用 SameSite=None + Secure 的 Cookie 属性(推荐) 这是目前最主流的解决方式,适用于请求需要携 Cookie 的场景(如登录状态)。 #### 后端设置(Spring Boot 示例): ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("https://frontend.com") // 不能是 * .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("*") .allowCredentials(true) .exposedHeaders("Authorization") .maxAge(3600); } } ``` #### 后端响应中设置 Cookie 示例(Java Servlet): ```java HttpServletResponse response = ...; Cookie cookie = new Cookie("JSESSIONID", "abc123"); cookie.setPath("/"); cookie.setSecure(true); // 必须 HTTPS cookie.setHttpOnly(true); cookie.setAttribute("SameSite", "None"); // 允许 response.addCookie(cookie); ``` > ⚠️ 注意:必须使用 HTTPS,否则 `SameSite=None` + `Secure` 会被浏览器忽略。 --- ### ✅ 方案二:使用 Token(如 JWT)代替 Cookie Token 是一种无状态的认证方式,前端将 Token 存储在 `localStorage` 或 `sessionStorage` 中,并在每次请求时通过 `Authorization` 请求头发送。 #### 示例: ```javascript fetch('https://api.example.com/api/data', { method: 'GET', headers: { 'Authorization': 'Bearer your-jwt-token' } }) ``` #### 优点: - 不依赖 Cookie,绕过浏览器限制 - 更适合移动端和场景 - 可以配合 OAuth2、JWT 使用 --- ### ✅ 方案三:使用后端代理(避免) 前端不直接访问第三方服务,而是通过自己的后端作为代理。 #### 示例: - 前端请求:`/api/data`(同源) - 后端转发请求到:`https://third-party.com/api/data` 这样浏览器认为是同源请求,不会触发限制。 --- ### ✅ 方案四:使用 OAuth2 隐式流程或 PKCE 在登录场景中,使用 OAuth2 的隐式流程(Implicit Flow)或 PKCE(Proof Key for Code Exchange)可以避免依赖 Cookie。 #### 优点: - 支持现代浏览器对隐私的限制 - 适用于移动端和 SPA(单页应用) --- ### ✅ 方案五:使用 iframe + 本地 Cookie(适用于嵌套场景) 如果你的应用被嵌入在 iframe 中,可以尝试让用户先访问你的名,设置 Cookie,然后再跳转到父页面。 #### 示例流程: 1. 用户点击登录按钮,跳转到 `https://yourdomain.com/login` 2. 登录成功后设置 Cookie(SameSite=None + Secure) 3. 页面跳回嵌入的 iframe 或主站 --- ## ✅ 浏览器兼容性说明 | 浏览器 | 支持 SameSite=None | 限制第三方 Cookie | |--------|--------------------|-------------------| | Chrome 80+ | ✅ | ✅ | | Firefox 63+ | ✅ | ✅ | | Safari ITP | ✅ 但限制更强 | ✅ | | Edge 18+ | ✅ | ✅ | --- ## ✅ 推荐实践总结 | 场景 | 推荐方案 | |------|----------| | 简单 API 请求 | 使用 Token(如 JWT) | | 登录态共享 | SameSite=None + Secure Cookie(HTTPS) | | 嵌套 iframe 场景 | 后端代理 + Token 或 OAuth2 | | SPA + 微服务架构 | 使用 OAuth2 + PKCE | | 需要 Cookie 回传 | 设置 SameSite=None + Secure + HTTPS | --- ##
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值