js中cookie可以跨域取值吗

JavaScript029

js中cookie可以跨域取值吗,第1张

正常情况下,浏览器禁止跨域获取cookie

一般通过sso服务可以实现取得跨域cookie,思路如下:

域A页面访问位于域A的服务器,对权限进行验证

域A服务器于域B服务器通信,记录一个唯一的加密串用作身份验证域(并将cookie信息发送给域B服务器)

域A服务器返回302跳转,跳转到域B下,并将加密串作为url的一部分

页面由域A跳转到域B,域B服务器通过加密串获取到事先从域A服务器上得到的cookie信息,并在响应头中添加set-cookie字段设置cookie

HTTP本身是【无状态】,对于HTTP来说无状态这个特点是一把双刃剑

优点就是服务器不用存储状态。可以容易组成集群,缺点就是无法记录有状态的连续事务操作;

后来出现了Cookie机制,由于HTTP本身的优点中有一点是可扩展,Cookie机制的加入这就给HTTP增加了【记忆功能】

响应头字段【Set-Cookie】和请求头字段【Cookie】

当浏览器第一次访问服务器时,服务器不知道这哥们是谁,就需要创建一个身份标识数据,格式时【key=value】,然后放进Set-Cookie字段里,随着响应报文一同发给浏览器;

浏览器收到响应报文时就查找Set-Cookie中给的身份,并且【存储起来】,等着下次请求时就自动把这个值放进Cookie字段里面发送给服务器;

当第二次请求时,请求报文中就携带了Cookie字段,服务器收到后就知道这哥们我认识,就拿出Cookie中的值,识别出了用户画像,提供个性化服务;

有时服务器会在响应头中添加多个Set-Cookie,浏览器这边就存储多对【key-value】,浏览器这边再次请求时就使用一个Cookie,对应多对【key-value】使用【】进行分隔;

需要明确

cookie是由客户端存储的(浏览器),当我们换浏览器或者设备时(电脑)服务器就不认得我们啦;

所谓的Cookie属性就是用来保护Cookie防止外泄或者窃取;

Cookie的有效期,让它只能在一段时间内可以用;

Cookie的有效期可以使用【Expires】和【Max-Age】两个属性设置;

俗称过期时间,可以理解为截止日期

用的是相对时间,当客户端收到报文的时间点加上Max-Age,就可以得到失效的绝对时间;

客户端会 优先采用Max-Age的机制计算失效期;

原理很简单,响应报文中Set-Cookie中,会携带【Domain】和【Path】的属性,

当我们浏览器请求时会从URI中提取host和path部分,对比Domain和Path的属性,如果匹配不成功,请求头字段中就不带Cookie了;

使用Cookie作用域可以为不同的域名和路径设置不同的Cookie;

在日常的开发中。FE同学可以在JS脚本中用【document.cookie】来读写Cookie数据,这就带来隐患,可能会导致【跨站脚本】攻击窃取数据;

会告诉浏览器,该Cookie只能通过浏览器HTTP协议传输,禁止其他的方式访问;

那么JS引擎就会禁用documen.cookie的API

可以防范【跨站请求伪造】攻击,有如下三种值可设置;

SameSite=Strict

严格规定Cookie不能随着跳转链接跨站发送

SameSite=Lax

稍微宽松一点,允许GET/HEAD等方法携带,但是禁止POST跨站携带发送

SimeSite=NoneSecure

标识这个Cookie发送只能使用HTTPS协议加密传输,明文的HTTP协议会禁止发送;

最近在做Target31升级,就涉及到SameSite属性变更的改造(WebView;升级到Target31后Cookie中SameSite属性默认是Lax),由于业务方很多包含客户端、Server、FE这个改造成本很大,后面有机会写写这个改造过程;

用户携带用户的登录信息,实现连续的会话务;

当我们上网时看过很多广告的图片,这些广告图片背后都是广告商网站,它会给你悄悄搞上Cookie,这样你上其他网站别的地方广告就能用这个Cookie读出你的身份,做出分析,给你接着推广告;