背景:
build-model应用在hcs迁移的时候,前、后端各自部署了一个新应用,但是调试时候发现没有cookie,导致鉴权失败!
注: 后端通过cookie中的token做鉴权的,前端调用接口的时候,查看,发现没有cookie。
前端已经设置:axios.defaults.withCredentials = true
以为是Access-Control-Allow-Headers没有cookie的字段所以限制,没有cookie的问题,或者后端有其他限制条件,导致cookie携带失败,跟后端沟通后,发现后端并没有限制cookie的鞋带,所以跟后端没关系。
前端应用:http://build-model-hcs.fnwtest.enncloud.cn
后端服务:http://cim-build-model-hcs.test.fnwintranet.com
迁移前的地址分别为:
前端:http://build-model-hcs.fnwtest.enncloud.cn
后端:是区分泛能和交付平台的:
- 泛能网调用:http://cim-build-model.test.fnwintranet.com
- 交付平台调用:http://cim-build-model.fnwtest.enncloud.cn
考虑:
- 浏览器禁用三方cookie
- 后端有某些限制,不可以设置cookie。目前看后端没限制,没携带cookie就是前端的额。
跨域请求如何携带cookie?
前端请求时在request对象中配置"withCredentials": true;
服务端在response的header中配置"Access-Control-Allow-Origin", “http://xxx:${port}”;
服务端在response的header中配置"Access-Control-Allow-Credentials", “true”
跨站、跨域、cookie注入
简述
之前对cookie相关知识一直零零碎碎,最近工作中遇到些相关问题,于是又整体重新梳理了一面,算是一个总结。主要介绍如何跨域、跨站注入cookie,以及踩过过的一些。
本文所用到的虚拟URL说明
http://dev.proxy.com:3000/ 浏览器访问URL
http://dev.fws.proxy.com:3001/ 跨域接口URL
http://dev.other.com:3001/ 跨站接口URL
概念
跨站(cross-site):两个 URL 的 eTLD+1 相同即可,忽略协议、端口(不满足即跨站)
跨域(cross-origin):两个 URL 的协议/主机名/端口一致(不满足即跨域)
跨站一定跨域,跨域不一定跨站
Domain: 只能设置当前域、主域
1、默认当前完整域前面不会加点,完全匹配
2、手动设置时前面加不加点浏览器都会解析为加点,即domain域、子域都携带
eg: 访问http://dev.fws.proxy.com ,domain = proxy.com 或者 dev.fws.proxy.com
Path:请求必须包含path,才会携带本次注入的cookie
SameSite: 默认Lax
1、设置None必须存在Secure
2、跨站注入cookie 则必须设置None
跨站注入cookie
1、需是https 协议.
2、set-cookie:_token=xxxxxx;domain=other.com;path=/;SameSite=None:Secure
3、服务端进行相关跨域配置
res.header("Access-Control-Allow-Origin", "http://dev.proxy.com:3000");
res.header("Access-Control-Allow-Headers", "X-Requested-With");
res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");
res.header("Access-Control-Allow-Credentials", true)
注意:Access-Control-Allow-Origin 必须指定具体域,不能设置 *
Access-Control-Allow-Credentials 必须 true
4、web访问 withCredentials:true
跨域注入cookie
1、http、https协议均可
2、set-cookie:_token=xxxxxx;domain=.proxy.com;path=/
3、服务端跨域设置同上
4、web访问 withCredentials:true 否则无法注入cookie
小节:
1、跨域访问 web必须 withCredentials:true,默认浏览器是不携带cookie
2、服务跨域配置
3、path 必须要手动指定
参考:https://blog.csdn.net/Trifling_/article/details/119491330
结论:
跨站,且是http协议的,那么设置withCredentials,也是无效的,还是不会携带cookie。
运维或者后端配置一个同domain的地址即可。
参考:https://zhuanlan.zhihu.com/p/580644048
![[安全开发]如何搭建一款自己的网安微信机器人](https://img-blog.csdnimg.cn/img_convert/23ca4c151bc9fd030631f39cc0eb8fed.png)
![[Java EE] 多线程(八):CAS问题与JUC包](https://img-blog.csdnimg.cn/direct/2fef608c331841709776f77b133d6fce.png)
