摘要:可選的最長有效時(shí)間,格林尼治標(biāo)準(zhǔn)時(shí)間。如果不傳表示這是一個(gè)會(huì)話期。默認(rèn)值為當(dāng)前文檔訪問地址的主機(jī)名不包含子域名。設(shè)置的目錄及其子目錄都生效??蛇x設(shè)置了屬性的不能使用經(jīng)由屬性和進(jìn)行訪問以防范跨站腳本攻擊。
問題 描述
先看下后臺(tái)返回的Set-Cookie字段:
查看瀏覽器Cookies:
發(fā)現(xiàn)只有JESSIONID存入到了瀏覽器Storage中的Cookies。通過比較 Response Headers 中兩個(gè) set-cookie字段可以發(fā)現(xiàn)字段不同:
JSESSIONID:path=/
ZTEV-JWT-Token:Max-Age=1800; Expires=Wed, 26-Jun-2019 02:49:55 GMT
解決讓后臺(tái)設(shè)置 ZTEV-JWT-Token 的時(shí)候也添加一個(gè) path=/ 字段。
我上面遇到的這個(gè)問題是因?yàn)楹蠖藳]有設(shè)置path。當(dāng)然還有一些其他的原因也會(huì)導(dǎo)致瀏覽器訪問不到cookie,例如:設(shè)置了http-only、domain不匹配。
Set-Cookie指令名稱/值的形式。
cookie-name 可以是除了控制字符 (CTLs)、空格 (spaces) 或制表符 (tab)之外的任何 US-ASCII 字符。同時(shí)不能包含以下分隔字符: ( ) < > @ , ; : " / [ ] ? = { }.
cookie-name 是可選的,如果存在的話,那么需要包含在雙引號(hào)里面。支持除了控制字符(CTLs)、空格(whitespace)、雙引號(hào)(double quotes)、逗號(hào)(comma)、分號(hào)(semicolon)以及反斜線(backslash)之外的任意 US-ASCII 字符。關(guān)于編碼:許多應(yīng)用會(huì)對(duì) cookie 值按照URL編碼(URL encoding)規(guī)則進(jìn)行編碼,但是按照 RFC 規(guī)范,這不是必須的。不過滿足規(guī)范中對(duì)于
__Secure- 前綴 以 __Secure- 為前綴的 cookie(其中連接符是前綴的一部分),必須與 secure 屬性一同設(shè)置,同時(shí)必須應(yīng)用于安全頁面(即使用 HTTPS 訪問的頁面)。
__Host- 前綴 以 __Host- 為前綴的 cookie,必須與 secure 屬性一同設(shè)置,必須應(yīng)用于安全頁面(即使用 HTTPS 訪問的頁面),必須不能設(shè)置 domain 屬性 (也就不會(huì)發(fā)送給子域),同時(shí) path 屬性的值必須為“/”。
Expires=cookie 的最長有效時(shí)間,格林尼治標(biāo)準(zhǔn)時(shí)間。如果不傳表示這是一個(gè)會(huì)話期 cookie。
Max-Age=cookie 的最長有效時(shí)間,單位是秒。Max-Age優(yōu)先級(jí)高于Expires。
Domain=cookie 可以送達(dá)的主機(jī)名。默認(rèn)值為當(dāng)前文檔訪問地址的主機(jī)名(不包含子域名)。如果設(shè)置了該參數(shù),則其子域也包含在內(nèi)。
Path =cookie 可以送達(dá)的路徑。設(shè)置的目錄及其子目錄都生效。
Secure | 可選一個(gè)帶有安全屬性的 cookie 只有在請(qǐng)求使用SSL和HTTPS協(xié)議的時(shí)候才會(huì)被發(fā)送到服務(wù)器。
HttpOnly | 可選設(shè)置了 HttpOnly 屬性的 cookie 不能使用 JavaScript 經(jīng)由 Document.cookie 屬性、XMLHttpRequest 和 Request APIs 進(jìn)行訪問以防范跨站腳本攻擊(XSS)。
SameSite=Strict 和 SameSite=Lax | 可選允許服務(wù)器設(shè)定一則 cookie 不隨著跨域請(qǐng)求一起發(fā)送,這樣可以在一定程度上防范跨站請(qǐng)求偽造攻擊(CSRF)。
參考MDN Web文檔
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/105003.html
摘要:昨天研究了網(wǎng)站的注冊(cè)流程,感興趣的可以看下從前后端分別學(xué)習(xí)注冊(cè)登錄流程今天接著研究注冊(cè)登錄流程之登錄。為解決這個(gè)問題,引入,它是由一組隨機(jī)數(shù)組合的哈希表,當(dāng)用戶登錄成功,本來發(fā)放給用戶,現(xiàn)在變成發(fā)放給用戶。 昨天研究了網(wǎng)站的注冊(cè)流程,感興趣的可以看下:從前后端分別學(xué)習(xí)——注冊(cè)/登錄流程1 今天接著研究注冊(cè)/登錄流程之登錄。 登錄 首先來看一下登陸過程:showImg(https://s...
摘要:那要是被刪了呢那沒辦法了,只能重新登陸,意味著重新提交重新分配隨機(jī)數(shù)。它是一個(gè)哈希,作用就是字面意思,本地存儲(chǔ),只不過這里的本地指的是瀏覽器。 標(biāo)簽可以保留回車和空格等你怎么寫它就怎么展示的內(nèi)容 cookie cookie可以看作是一種設(shè)置,允許瀏覽器在電腦本地硬盤的某一個(gè)隱蔽的地方開發(fā)一塊存儲(chǔ)空間,用來存放某些特定的內(nèi)容。 如果在服務(wù)器端設(shè)置了允許使用cookie,那么,之后瀏覽器每...
摘要:同時(shí)由于跨域了,就想利用的反向代理去處理一下跨域,但是在解決問題的同時(shí),發(fā)現(xiàn)網(wǎng)上有些方案的確是存在一些問題,在這里總結(jié)一下基本配置,也聊一下常見的配置問題。 最近公司前后端分離,前端獨(dú)立提供頁面和靜態(tài)服務(wù)很自然的就想到了用nginx去做靜態(tài)服務(wù)器。同時(shí)由于跨域了,就想利用nginx的反向代理去處理一下跨域,但是在解決問題的同時(shí),發(fā)現(xiàn)網(wǎng)上有些方案的確是存在一些問題,在這里總結(jié)一下基本配置...
摘要:同時(shí)由于跨域了,就想利用的反向代理去處理一下跨域,但是在解決問題的同時(shí),發(fā)現(xiàn)網(wǎng)上有些方案的確是存在一些問題,在這里總結(jié)一下基本配置,也聊一下常見的配置問題。 最近公司前后端分離,前端獨(dú)立提供頁面和靜態(tài)服務(wù)很自然的就想到了用nginx去做靜態(tài)服務(wù)器。同時(shí)由于跨域了,就想利用nginx的反向代理去處理一下跨域,但是在解決問題的同時(shí),發(fā)現(xiàn)網(wǎng)上有些方案的確是存在一些問題,在這里總結(jié)一下基本配置...
摘要:代理響應(yīng)事件,可以在這里修改響應(yīng)。再貼一遍代碼修改修改此處使用了對(duì)象進(jìn)行操作,遍歷,替換相應(yīng)的值,刪除原來的再重新設(shè)置一遍即可。至此,我們可以在的中來進(jìn)行配置,解決開發(fā)環(huán)境下丟失的問題。 問題 最近項(xiàng)目對(duì)接口進(jìn)行安全改造,需要用到一個(gè)Path=/XXX/的cookie值,但是本地開發(fā)環(huán)境會(huì)出現(xiàn)cookie丟失的問題,因?yàn)楸镜亻_發(fā)環(huán)境目錄都是http://localhost:8000/h...
閱讀 3095·2021-10-15 09:41
閱讀 3167·2021-09-22 16:05
閱讀 2405·2021-09-22 15:19
閱讀 2873·2021-09-02 15:11
閱讀 2446·2019-08-30 15:52
閱讀 831·2019-08-30 11:06
閱讀 1000·2019-08-29 16:44
閱讀 1239·2019-08-23 18:18