程序员经验分享-hwhale

CORS、withCredentials 和第三方 cookie

2023-11-26

我正在尝试执行 CORS GET 来发送 cookie。我已经设置了所有标题(access-control-allow-origin, access-control-allow-credentials, access-control-allow-headers)在服务器中并且正在使用withCredentials: true and crossDomain: true在 jquery ajax 请求中。当我告诉浏览器允许第三方 cookie 时,一切正常。有什么方法可以做到这一点而不强迫访问者允许第三方 cookie?我什至尝试过重定向用户并重定向回来,但 CORS 将拒绝发送 cookie。 :/

我尝试通过 ajax 以及 iframe 执行 CORS 请求。


我认为这是不可能的。请参阅我的(旧但相关)博客文章关于这一点。 唯一可靠的方法是使用第一方 cookie(即在顶级窗口中打开窗口,如单独的选项卡,或重定向当前窗口)。

但在某些情况下这是没有必要的。浏览器对第三方 cookie 的概念略有不同,默认行为也不同。这个帖子对这些细节有很好的概述。因此,在某些情况下,您可以使用一些技巧来启用(或至少检测)页面上 cookie 的使用。

其他解决方法包括将一台服务器置于另一台服务器的子域下(子域通常不被视为第三方),或者更改流程以便通过 cookie 以外的其他方式对用户进行身份验证。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

cookies

crossdomain

CORS

sameoriginpolicy

CORS、withCredentials 和第三方 cookie 的相关文章

  • XmlHttpRequest CORS POST 发送时不带 cookie

    我有一个 Rails 服务为我的 AngularJS 前端应用程序返回数据 该服务配置为通过返回足够的标头来允许 CORS 请求 当我发出 GET 请求来接收数据时 会发送 CORS 标头 以及我之前在登录时收到的会话 cookie 您可以

  • 在 ContainerResponseFilter 中获取响应 (JAX-RS 2)

    我正在尝试移植这个 CORS 过滤器 https raw github com ysangkok jax rs ng todo master topack WEB INF classes our package ResponseCorsFi

  • HTTP 和 HTTPS iframe

    我正在创建一个小部件 我想允许其他人使用它 这iframe通过 HTTP 加载 但我想允许用户通过 HTTPS 登录 即通过 SSL 发送登录请求 同源策略中允许这样做吗 即 场景是用户可以将我的 JavaScript 集成到他们的网站 小

  • gwt rpc 中的会话 ID cookie

    假设我正在滚动自己的会话代码 那么在 java 中生成唯一且安全的会话 id cookie 的正确方法是什么 我不应该自己推出而是使用已经标准化的东西吗 我正在使用 gwt 和 google app engine 平台 如何使会话在浏览器

  • iOS 中如何清除特定域的 cookie?

    我已经搜索了 StackOverflow 上的几乎所有问题来寻找我的问题的答案 我还没有找到任何有用的链接或教程来说明哪种方式最好清除特定域的 cookie 如果有人可以帮助我 请 我自己找到了解决方案 如果您想删除 UIWebView 中

  • 为什么 CloudFront 根据 Accept-Encoding 改变 CORS 标头响应?

    我正在尝试让 CORS 与 Amazon S3 CloudFront 一起正常工作 设置我的 CORS 配置后 它似乎可以正常工作 curl H Origin https app close io I https d4389n07pf8cq

  • 使用会话 php 创建 cookie?

    我使用会话来登录我网站中的用户 问题是 我想让用户remember密码 因此关闭 打开浏览器后他们不需要再次登录 我需要使用 cookie 和 session 来实现它吗 my code user POST user pass POST p

  • 是否可以在 ASP.NET Web API 和 SPA 中使用基于 cookie 的身份验证?

    我想创建基于 angularjs 前端和 ASP NET Web API 的 Web 应用程序 我需要创建安全 api 但我无法在将实施此 Web 应用程序的公司服务器上使用基于令牌的身份验证 是否可以对 SPA 和 ASP NET Web

  • 如何将 php curl 中的 cookie 获取到变量中

    因此 其他公司的一些人认为 如果不使用soap xml rpc rest 或任何其他合理的通信协议 而是将所有响应作为cookie 嵌入标头中 那就太棒了 我需要从这个卷曲响应中将这些 cookie 作为数组取出 如果我不得不为此浪费大量的

  • Chrome SuppressDifferentOriginSubframeJSDialogs 使用 JS 设置覆盖?

    Chrome 开发团队显然刚刚推出了一项名为 SuppressDifferentOriginSubframeJSDialogs 的新 功能 这使得默认情况下不会显示来自与父级不同域上的 iFrame 的警报 确认框 https www ch

  • Chrome开发者工具中不显示cookie

    i am using node express server and angularjs as frontend server sets the cookie and is shown correctly in the network re

  • 使用 cookie 制作 Ruby Net::HTTP::Get 请求

    我想通过 ruby 打开我的 stackoverflow com 页面 我希望看到它就好像我已经过身份验证一样 I took usr来自 Google Chrome 的 cookie 并创建了以下代码片段 require net http

  • Django 会话:修改时更改会话密钥

    我正在设置一个支付网关 并使用会话跨页面请求存储数据 下面的类用于组织和存储会话信息 class Gateway def init self session key None session name FOO Store session I

  • 在 Laravel 4 中使用 Cookie

    在 Laravel 4 中如何使用 cookie 我确信这很简单 但我有些不适应 但我需要一点帮助 据我所知 你必须创建一个像这样的cookie cookie Cookie make test cookie test data 30 那么

  • PHP 会话 ID——它们是如何生成的? [复制]

    这个问题在这里已经有答案了 当我打电话时session start or session regenerate id PHP 为会话 ID 生成看似随机的字符串 我想知道的是 它只是一个随机的字符序列 还是像uniqid 功能 因为如果只是

  • Django:设置为 30 秒后过期的 Cookie 实际上会在 30 分钟后过期?

    这是我的代码 def update session request if not request is ajax or not request method POST return HttpResponseNotAllowed POST u

  • Express COR 策略阻止 Apollo 客户端从服务器获取数据

    我正在运行一个反应开发服务器http localhost 3000和一个快递服务器http localhost 8080并使用 Apollo 客户端来查询服务器 为了使会话数据能够从客户端传递到服务器 我添加了credentials inc

  • scrapy中cookies的正确使用形式是什么

    我是个新手 我正在一个使用cookies的网络中使用scrapy 这对我来说是一个问题 因为我可以在没有cookies的网络上获取数据 但在有cookies的网络上获取数据对我来说很困难 我有这个代码结构 class mySpider Ba

  • 如何解决[从不设置cookie的域提供以下静态资源]

    我正在为一些我根本不知道的事情而挣扎 当我 ping 我的网站时 我得到了这个结果 Serve the following static resources from a domain that doesn t set cookies 而且

  • SetCookie 标头未存储

    我目前正在制作一个 Web 应用程序 其中 API 为 Node express js 前端为 Vue js 对于身份验证 我设置了 JWT 并通过 cookie HttpOnly 发送值 SetCookie 位于 Chrome Firef

随机推荐

  • 使用Unix JOIN命令合并两个文件

    尽管进行了所有研究 但这并没有像我预期的那样工作 我肯定错过了什么 文件1 cat file1 csv 1 123 JohnDoe 1 456 BobDylan 1 789 BillyJean 文件2 cat file2 csv 111 1

  • 是否可以让组织模式在议程待办事项列表中显示面包屑?

    在 Emacs 中 我有一组以下格式的 TODO H1 H2 H3 TODO X 当我查看议程待办事项视图时 它仅显示为TODO x 有没有办法让议程视图将其显示为H1 H2 H3 TODO X 我从以下位置找到了这个解决方案here se

  • 如何从 Java 代码调用 AWS lambda 函数/处理程序

    我是 AWS lambda 新手 我已经创建了一个带有处理程序的 lambda 函数 example Orders orderHandler 这是自定义处理程序 现在我想从我的 Java 程序中调用它 我需要如何调用它 这个类中的2个方法应

  • 什么定义了“活动”线程?

    在Java并发中 什么构成了线程 active 只是它没有空闲这一事实 从技术上来说 等待 或 挂起 的线程是否仍然被认为是活动的 据我所知 活跃 这个词似乎被经常使用 但从未被定义过 这ThreadGroup enumerate 方法记录

  • 是否可以在没有电子邮件 ID 的情况下注册 Facebook? [关闭]

    Closed 这个问题需要多问focused 目前不接受答案 我有关于 Facebook 注册的问题 我需要知道在不提供电子邮件 ID 的情况下使用任何手机号码或任何其他方式注册的可能性 这很重要 因为我正在开发一个 Facebook 应用

  • 如何防止 Spring MVC 在 Spring Boot 中转换为 Collection 时解释逗号?

    我们基本上有同样的问题这个问题姿势 但对于列表 此外 我们正在寻找一个全局解决方案 目前我们有一个 REST 调用 其定义如下 RequestMapping ResponseBody public Object listProducts R

  • 如何处理文本区域中的

    我想要一个可以处理按下情况的文本区域tab key 在默认情况下 如果您按tab键然后焦点离开文本区域 但是当用户想要输入时情况又如何呢 tab文本区域中的键 我可以捕获此事件并将焦点返回到文本区域并将选项卡添加到current光标位置 你

  • Python 跟踪模块 - 跟踪执行的行,但保存到文件,而不是标准输出

    我想跟踪 python 脚本的执行行 但是我使用的程序需要将内容打印到标准输出 python 跟踪模块的跟踪选项将它们打印到标准输出 有没有办法告诉它不要将它们打印到标准输出 而是将它们保存到文件中 我尝试设置outfile参数 但它不会停

  • Android 文件描述符泄漏调试

    我们公司有很多在虚拟 真实设备上运行的用户界面测试 运行一段时间后测试随机崩溃 我认为这是文件描述符超出的结果 我使用 ls proc PID fd wc l and lsof p PID 但它并没有多大帮助 lsof 中的大多数行看起来像

  • Athena 的 .csv.metadata 文件的数据格式是什么?

    的数据格式是什么 csv metadata由 Amazon Athena 编写的文件 除了每个查询的输出文件之外 还有一个元数据文件 看起来它描述了结果的架构 我认为这就是雅典娜用来创建ResultSet ResultSetMetadata

  • Oracle 中表行的创建日期时间是多少?

    昨天我的朋友 BI 专家 向我解释了一个预言机问题 有一个 Oracle 数据库包含大量数据 但它们不会为每个表创建列来存储每行的创建日期时间 所以在这种情况下他如何获得每行的创建日期时间 时间戳 每行都有自己的系统更改号 SCN 这精确地

  • 蟒蛇 |为什么访问实例属性比访问本地慢?

    import timeit class Hello def init self self x 5 def get local attr self x self x 10x10 x x x x x x x x x x x x x x x x

  • 数据流模板 Cloud Pub/Sub 主题与 BigQuery 订阅

    我正在设置一个简单的概念验证来学习 Google Cloud 中的一些概念 特别是 PubSub 和 Dataflow 我有一个 PubSub 主题greeting 我创建了一个简单的云函数 用于向该主题发送发布消息 const escap

  • 使用linux宏access_ok()有什么意义

    我一直在做一些研究 我对这个宏有点困惑 希望有人能给我一些指导 我有一些 ioctl 代码 我继承的 而不是编写的 它做的第一件事是检查是否access ok 在继续从用户空间复制数据之前 define lddk copy from use

  • 找不到“React/RCTBridgeModule.h”文件

    在 xcode 上构建反应本机 iOS 应用程序时出现此错误 npm install 和 rpm 链接后开始出现此错误反应本机FS图书馆 但在网上搜索解决方案后 我注意到很多人在安装其他 React Native 库时遇到了同样的错误 A

  • Kotlin - 使用 Persistence Room:runtime lib 从 Room 数据库返回新插入的 id

    我正在尝试使用 Kotlin 在 Room 数据库中插入用户记录 它工作得很好 现在我想返回新插入的记录id来检查Room数据库中的记录是否成功插入 但是当我在插入方法中应用 Long 返回类型并运行代码时 我收到以下错误 错误 方法返回

  • Vec::new() 如何知道请求的元素类型是什么?

    我可以创建任何类型的向量 如下所示 let mut vec Vec

  • Bootstrap 流体布局 - 侧边栏的固定宽度

    我有一个基于 Twitter Bootstrap 的流畅布局 div class container fluid div class row fluid div class span2 div div class span10 div di

  • spring boot 包不存在错误

    我正在编译我的项目mvn clean package 并失败了package does not exist 详细命令 获取jar文件target xxxx jar通过跑步mvn clean package在源项目中 通过运行安装此 jar

  • CORS、withCredentials 和第三方 cookie

    我正在尝试执行 CORS GET 来发送 cookie 我已经设置了所有标题 access control allow origin access control allow credentials access control allow

热门标签