Cookie跨域问题
2010-07-15 22:26
435 查看
跨二级域名
我们知道cookie可以跨二级域名来访问,这个很好理解,例如你在www.cmj.com所在的web应用程序创建了一个cookie,在cs.cmj.com这样的二级域名对应的应用程序中可以访问,当然你在创建cookie的时候需要指出Domain属性为cmj.com。跨域名问题
现在问题就是如果我不是二级域名而是完全在不同的域中,例如现在是www.smm.com想要访问www.cmj.com或其二级域名对应的程序中创建的cookie怎么办呢?我们知道至少靠常规反的方法是访问不了的,关键我们就是看看有没有方法可以访问。事实是Cookie可以在一定条件下跨域,而不是随心所欲的实现跨域。做个实验
例如就像上面所说的有两个站点分别是www.cmj.com和www.smm.com现在就来看看如何跨域。首先按照常规我们需要有DNS服务器才能够配置域名,否则我们是无法验证的(没有域名怎么跨域啊O(∩_∩)O~),但是这里我们也没有必要那么麻烦,我们可以通过修改hosts文件来模拟。在C:/Windows/System32/drivers/etc中有hosts文件,添加上127.0.0.1 www.cmj.com
127.0.0.1 www.smm.com
两行,就可以将本机用上面的域名访问本机回环地址了。当然,可以看出来我们只需要在iis上部署同一套程序,ip为本机回环地址,用两个域名分别访问就可以了。
那么看一下程序,我们有三个页面,其中认为cmj_index.aspx是www.cmj.com的页面,也就是说访问的地址是http://www.cmj.com/cmj_index.aspx。看一下前台代码,它没有任何后台代码:
<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="cmj_index.aspx.cs" Inherits="WebApplication1.cmj_index" %> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head runat="server"> <title></title> </head> <body> <form id="form1" runat="server"> <div> <iframe src="http://www.smm.com/smm_setCookie.aspx" mce_src="http://www.smm.com/smm_setCookie.aspx"></iframe> </div> </form> </body> </html>
另外一个是smm_setCookie.aspx这个页面,当然我们认为它是www.smm.com的页面,前台没有任何代码,这是后台代码:
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; namespace WebApplication1 { public partial class smm_setCookie : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { HttpCookie cookie = new HttpCookie("smmCookie"); cookie.Domain = "smm.com"; cookie.Expires = DateTime.Now.AddMinutes(10); cookie.Values.Add("cookieInfo", "这里是cookie的值!"); Response.AppendCookie(cookie); Response.Write("cookie已经成功创建!"); } } }
最后就是smm_getCookie.aspx页面了,它同样是www.smm.com下的页面,没有前台代码,只有后台代码:
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; namespace WebApplication1 { public partial class smm_getCookie : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { Response.Write(Request.Cookies["smmCookie"]["cookieInfo"]); } } }
我们现在要做的就是看看,当我们通过http://www.cmj.com/cmj_index.aspx之后(我们知道这时smm_setCookie页面会执行后台代码创建cookie),在http://www.smm.com/smm_getCookie.aspx中能否得到相应的cookie。如果能得到,说明在www.cmj.com下创建的cookie在www.smm.com下是可以访问到的。
首先访问一下http://www.cmj.com/cmj_index.aspx
再访问http://www.smm.com/smm_getCookie.aspx
很明显是失败的,一定条件下(其实就是将一个域中的设置cookie的操作放到frame中)的跨域也是失败的。其实是条件还不够,还需要在header中加入p3p。设置cookie的代码前加入一行代码:
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; namespace WebApplication1 { public partial class smm_setCookie : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { Response.AddHeader("P3P", "CP=CAO PSA OUR"); HttpCookie cookie = new HttpCookie("smmCookie"); cookie.Domain = "smm.com"; cookie.Expires = DateTime.Now.AddMinutes(10); cookie.Values.Add("cookieInfo", "这里是cookie的值!"); Response.AppendCookie(cookie); Response.Write("cookie已经成功创建!"); } } }
重复上面的访问就会发现:
具体这时为什么呢,其实因为P3P允许我们访问第三方cookie造成的,当然之所以不加不能访问是因为IE默认不支持访问第三方cookie(当然通过配置隐私信息也可以支持),其实在Firefox和chrome浏览其中默认就是支持访问第三方cookie的,当然也就不用加P3P的头信息了。这里对于P3P不做过多介绍,网上很多。
我们其实已经看到了,cookie跨域的情况,那么这是不是说明创建cookie的时候只要加入相应的头信息就可以在各种浏览器中随心所欲跨域了呢?在上面的程序的基础上添加一个页面Default.aspx,前台代码:
<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebApplication1.Default" %> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head runat="server"> <title></title> </head> <body> <form id="form1" runat="server"> <div> <asp:Label ID="Label1" runat="server" Text="Cookie写入值:"></asp:Label> <asp:TextBox ID="tbWriteValue" runat="server"></asp:TextBox> <asp:Button ID="btnWrite" runat="server" Text="写入" onclick="btnWrite_Click" /><br /> <asp:Label ID="Label2" runat="server" Text="Cookie读取值:"></asp:Label> <asp:TextBox ID="tbReadValue" runat="server"></asp:TextBox> <asp:Button ID="btnRead" runat="server" Text="读取" onclick="btnRead_Click" /><br /> </div> </form> </body> </html>
后台代码(其实和上面的代码完全一样):
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; namespace WebApplication1 { public partial class Default : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { } protected void btnWrite_Click(object sender, EventArgs e) { Response.AddHeader("P3P", "CP=CAO PSA OUR"); HttpCookie cookie = new HttpCookie("smmCookie"); cookie.Domain = "smm.com"; cookie.Expires = DateTime.Now.AddMinutes(10); cookie.Values.Add("cookieInfo", "这里是cookie的值!"); Response.AppendCookie(cookie); Response.Write("cookie已经成功创建!"); } protected void btnRead_Click(object sender, EventArgs e) { Response.Write(Request.Cookies["smmCookie"]["cookieInfo"]); } } }
我们只需要看看在www.cmj.com中设置cookie,在www.smm.com中是否可以读取就可以了。
在www.smm.com中写入cookie
在www.smm.com中读取(肯定能读取到,在同一个域中,说明程序没错O(∩_∩)O~)
在www.cmj.com中读取
结论
好了,答案出来了。Cookie可以跨域,但是并不是只要加入头信息就可以像想象中那样跨域了,只有我们上面的情况(将一个域中的设置cookie的操作放到frame中)才可以跨域的。相关文章推荐
- 记一次iphone 微信内置浏览器跨域无法获取cookie问题的解决方法
- Cookie跨域操作问题及解决方法(asp)
- 简单设置,解决使用webpack前后端跨域发送cookie的问题
- 关于Cookie跨域的问题
- eggjs 跨域post 不能保存本地cookie问题
- java中使用Cookie替代Session解决跨域Session失效问题
- Iframe跨域丢失Cookie和Session问题
- c# CookieContainer Cookie丢失bug、跨域问题等解决方案
- 两个域名下cookie跨域写入的问题
- iframe跨域访问cookie问题, A站iframe引用其它站(B站)的内容时,B站的页面获取不到B站种下的Cookies。
- webuploader.js 上传图片插件跨域时遇到服务端获取不到cookie问题
- 解决ajax跨域请求数据cookie丢失问题
- 解决ajax跨域请求数据cookie丢失问题
- 简单设置,解决使用webpack前后端跨域发送cookie的问题
- iframe 跨域访问session/cookie丢失问题解决方法
- 使用p3p简洁策略解决第三方跨域cookie问题
- cookie跨域问题
- 跨域丢失cookie的问题
- [转帖]iframe跨域访问cookie/session问题
- iframe中跨域cookie丢失问题java解决