那些遇到过的问题

Javascript不会设置XHR响应中收到的httpcookie

Bin*_*nam 7 javascript request-headers response-headers cookie-httponly asp.net-core

我有一个基本的SPA(反应)<-> API(网络核心2.2)设置,带有2个环境:dev和prod(小型项目)。API侧面有一个身份验证机制,用于检查httponly每个包含JWT的请求中cookie 的存在。

在开发环境中,它可以正常运行okey-dokey:,allowCredentials()并且已withCredentials = true在API和react应用程序中进行了设置。两者都在我的本地主机的不同端口上运行。

但是在生产环境中(单独的Heroku dynos),它不会设置httponlycookie:我可以使用我的凭据登录,响应标题包含带有jwt的cookie,但是我要发出的其他每个请求都将不包含cookie。 cookie标头在请求标头中!

然后我得到一个401 Unauthorized ...错误(这是逻辑上的)。我花了数小时尝试所有事情,这让我发疯。

我的简单身份验证XHR(原始)调用:

var request = new XMLHttpRequest()
request.open('POST', apiAuthenticateUser, true)
request.setRequestHeader('Content-type', 'application/json')
request.withCredentials = true
request.send(postData)
Run Code Online (Sandbox Code Playgroud)

Startup.cs在.net核心api中的配置:

var request = new XMLHttpRequest()
request.open('POST', apiAuthenticateUser, true)
request.setRequestHeader('Content-type', 'application/json')
request.withCredentials = true
request.send(postData)
Run Code Online (Sandbox Code Playgroud)

那就是我如何在api控制器动作响应中设置包含jwt的httponly cookie: 

public void Configure(IApplicationBuilder app, IHostingEnvironment env) {
    if (env.IsDevelopment()) {
        app.UseDeveloperExceptionPage();
        IdentityModelEventSource.ShowPII = true;
    } else {
        app.UseHsts();
    }
    app.UseHttpsRedirection();

    app.UseCors(
        options => options.WithOrigins(
                "https://localhost:3000",
    "*productionEnvUrl*").AllowAnyMethod().AllowCredentials().AllowAnyHeader()
    );

    app.UseMvc(routes => {
        routes.MapRoute("MainRoute", "api/{controller}/{action}");
    });

    app.UseAuthentication();
}
Run Code Online (Sandbox Code Playgroud)

两种环境下的代码相同,只是产生不同的结果。在这两种情况下,api都会在身份验证响应标头中向我发送正确的cookie,但是在生产环境中,我的react应用程序只是不保留它,而是通过其他api调用将其发送回去。

这是从API接收到的cookie,永远不会从网络应用发送回该cookie:

Access-Control-Allow-Credentials    :true
Access-Control-Allow-Origin :https://xxxxxxxxxx.com
Connection  :keep-alive
Content-Type    :application/json; charset=utf-8
Date    :Mon, 09 Sep 2019 22:32:54 GMT
Server  :Kestrel
Set-Cookie  :jwt=xxxxxxxx; path=/; secure; samesite=lax; httponly
Transfer-Encoding   :chunked
Vary    :Origin
Via :1.1 vegur
Run Code Online (Sandbox Code Playgroud)

如果有人有任何线索,我将永远感激不已。

Bin*_*nam 2

事实证明我做错了很多事情:

  • 我的网络应用程序代码一切都很好。
  • 它在开发环境中工作,因为所有内容都在本地主机上运行(只是不同的端口),这是由 Samesite=lax (默认值)cookie 策略授权的。
  • 为了使其跨域,您只需指定 Samesite=none 即可。它会产生一些潜在的漏洞,因为您失去了对 cookie 的一些控制,但除非您设置一些反向代理/api 网关机制,否则这是就 cookie(包括 httponly)而言唯一的方法。
  • 我对“jwt 只能存储在 httponly cookie 中”这条规则感到非常兴奋:它也有漏洞,而且你仍然必须确保应用程序的其余部分 xss(和其他技术)安全。如果采取所有必要的预防措施,您可以安全地将 jwt 存储在本地存储中。

感谢@Crayon Violent 抽出时间:)

归档时间:

查看次数:

73 次

最近记录:

6 年,8 月 前
相关归档
在JavaScript正则表达式中命名捕获组? 189
如何从代码隐藏调用javascript函数 53
如何用React.js添加一个类? 51
有哪些javascript树数据结构? 46
如何在Mac上退出ASP.NET Kestrel Web服务器 37
ASP.Net核心应用程序中LocalAppData的路径 17
自定义验证摘要和错误的格式 8
如何使用 IStringLocalizer 从 ASP.NET Core 控制器获取本地化字符串? 3
记录 Polly 等待和重试策略 ASP.NET CORE 2.1 3
为什么在我使用实体框架核心创建内存中的 sqlite 数据库时表不存在? 3
难疑归档
我遇到了合并冲突.我怎样才能中止合并? 2391
如何让Git使用我选择的编辑器进行提交? 2362
如何在不手动指定编码的情况下在C#中获得字符串的一致字节表示? 2121
如果目录尚不存在,如何mkdir? 1784
如何使用逗号作为千位分隔符在JavaScript中打印数字 1589
Make .gitignore会忽略除少数文件之外的所有内容 1531
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
.gitignore被Git忽略了 1407
如何创建文件并用Java写入? 1336
URL.Combine的URL? 1186