自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Hostonly Cookie是什么鬼?

作者: 小碼甲
系統(tǒng) 瀏覽器
cookie與domian密切相關(guān),如果cookie的domain屬性與你當(dāng)前查看的頁(yè)面的domain相同,cookie被稱為第一方cookie;

[[434253]]

知道cookie hostonly屬性的請(qǐng)舉手??

01Cookie常見姿勢(shì)、疑難梳理

目前w3c定義瀏覽器存放每個(gè)cookie需要包含以下字段:

cookie屬性 基本描述 舉例 備注
name=value cookie鍵值對(duì) id=a3fWa  
expires cookie過(guò)期時(shí)間 expires=Tue, 10-Jul-2013 08:30:18 GMT  
secure 指定通過(guò)https請(qǐng)求發(fā)送cookie   Restrict access to cookies
httponly 指示是否允許通過(guò)JavaScript Document.cookie API訪問(wèn)cookie   Restrict access to cookies
domain 指定哪些主機(jī)可以接收cookie Domain=mozilla.org;   不設(shè)置則等于當(dāng)前頁(yè)面domian Define where cookies are sent
path 指示哪些路徑的請(qǐng)求會(huì)攜帶cookie Path=/docs Define where cookies are sent
samesite 讓服務(wù)器指定是否允許跨站請(qǐng)求攜帶cookie SameSite=Lax Define where cookies are sent

cookie屬性之間用;連接;多個(gè)cookie設(shè)置,產(chǎn)生多次Set-Cookieheader

  1. HTTP/1.0 200 OK 
  2. Content-type: text/html 
  3. Set-Cookie: yummy_cookie=choco 
  4. Set-Cookie: X-BAT-FullTicketId=TGT-969171-******;domain=bat.com; path=/; samesite=none; httponly 
  5.  
  6. [page content] 

第一方cookie、第三方cookie:

cookie與domian密切相關(guān),如果cookie的domain屬性與你當(dāng)前查看的頁(yè)面的domain相同,cookie被稱為第一方cookie;

如果不同,則稱為第三方cookie, 第三方cookie通常用于廣告和用戶行為追蹤。

以上屬性決定了后續(xù)請(qǐng)求能否正常訪問(wèn)cookie并攜帶cookie, 其中與cookie安全密切相關(guān)的三個(gè)屬性:

  • secure
  • httponly
  • samesite

這三個(gè)cookie屬性也是單點(diǎn)登錄、跨域訪問(wèn)常遇到的阻礙的技術(shù)突破點(diǎn)。

02HostOnly cookie是什么鬼?

今天介紹一個(gè)不常見的cookie的屬性hostonly,但是也曾給碼甲哥造成了一點(diǎn)阻礙。

① 這是一個(gè)不可手動(dòng)修改的cookie屬性,類似 Sec-Fetch-、 Origin標(biāo)頭,都是瀏覽器自動(dòng)判斷并賦值。

② 判斷邏輯:

  1. 如果domain-attribute非空:如果規(guī)范化之后的request-host不匹配domain-attribute   
  2. 中的域名,那么完全忽略掉cookie并且終止這些步驟;否則,將cookie的host-only-flag   
  3. 設(shè)定為false,并且將cookie的domain設(shè)定為domain-attribute。     
  4. 否則:將cookie的host-only-flag設(shè)定為true,并且將domain設(shè)定為規(guī)范化之后的request-host。 

03爬坑經(jīng)歷

我當(dāng)時(shí)在做一個(gè) 單點(diǎn)登錄的時(shí)候,原意圖是: 設(shè)置cookie的domain屬性為父域名,向子域名請(qǐng)求時(shí)能自動(dòng)攜帶cookie, 但事與愿違,子域服務(wù)器始終收不到cookie。

我堅(jiān)信:

成熟的技術(shù)一定會(huì)有成熟的診斷姿勢(shì)!

成熟的技術(shù)一定會(huì)有成熟的診斷姿勢(shì)!

成熟的技術(shù)一定會(huì)有成熟的診斷姿勢(shì)!

Chrome瀏覽器開發(fā)者工具顯示:

疑點(diǎn)1:我的這個(gè)cookie在請(qǐng)求子域時(shí)被濾除了。

鼠標(biāo)懸停黑色感嘆號(hào),顯示我這是一個(gè)hostonly cookie, 這就奇怪了,這個(gè)cookie的domain值也是正常的,但是多了一個(gè)hostonly屬性。

疑點(diǎn)2:在原種植cookie的響應(yīng)流Set-Cookie header,這個(gè)cookie的domain鍵值對(duì)消失了。

圍觀我設(shè)置Cookie的錯(cuò)誤代碼:

結(jié)合hostonly的判斷邏輯, 我大概知道了。

大概就是我偷懶使用了單點(diǎn)登錄的回調(diào)地址'bat.com/home'作為domain屬性值,以為能自動(dòng)解析出正常的domain。

實(shí)際上經(jīng)歷了【響應(yīng)流中的Set-Cookie header 忽略cookie domain屬性】---> 【hostonly判斷邏輯】, 事情已經(jīng)失控了,解決問(wèn)題的辦法也很明確,設(shè)置正確合法的domain屬性值,就不會(huì)出現(xiàn)后續(xù)的幺蛾子,上線驗(yàn)證有效。

許久未更,見諒!碼甲哥其實(shí)有很多內(nèi)容想寫,來(lái)日方長(zhǎng),與子同程。

本文記錄了某web站點(diǎn)上線生產(chǎn)遇到的跨站點(diǎn)無(wú)法攜帶cookie問(wèn)題,

 

  • 全面梳理了Cookie的疑難姿勢(shì)
  • 順勢(shì)引出了hostonly這個(gè)有點(diǎn)意思的cookie屬性
  • 希望本次的爬坑經(jīng)歷能給大家?guī)?lái)一點(diǎn)幫助

 

責(zé)任編輯:武曉燕 來(lái)源: 精益碼農(nóng)
HostonlyCookie瀏覽器
相關(guān)推薦

2015-11-12 10:03:34

前端H5web

2020-09-27 06:53:57

MavenCDNwrapper

2017-04-03 15:35:13

知識(shí)體系架構(gòu)

2015-03-17 10:13:52

HTML5什么鬼

2019-10-30 10:13:15

區(qū)塊鏈技術(shù)支付寶

2021-07-06 10:17:07

Python LaunLinuxWindows

2020-11-04 13:01:38

FastThreadLocalJDK

2015-09-29 09:47:14

2022-01-12 12:35:36

Linuxworkqueue工作隊(duì)列

2019-01-07 12:40:19

2015-09-22 09:25:16

RTORPO災(zāi)備技術(shù)

2021-01-07 05:22:47

MySQL字段存儲(chǔ)

2022-09-07 08:41:57

SpringIstio分布式

2015-07-16 10:49:31

虛擬化容器技術(shù)

2019-01-17 14:35:01

2018-01-16 08:47:23

2016-10-21 09:58:19

WindowsKMSOEM系統(tǒng)

2015-05-21 15:45:13

2017-07-04 08:36:37

云服務(wù)器ECS計(jì)算服務(wù)

2022-03-15 10:38:14

數(shù)字孿生遠(yuǎn)程醫(yī)療數(shù)字化
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)