那些遇到过的问题

带有显式域的localhost上的Cookie

Jan*_*ich 169 cookies setcookie

我一定错过了一些关于cookie的基本知识.在本地主机上,当我设置在服务器端的cookie,明确指定域为localhost(或.localhost).某些浏览器似乎没有接受cookie.

Firefox 3.5:我在Firebug中检查了HTTP请求.我看到的是:

Set-Cookie:
    name=value;
    domain=localhost;
    expires=Thu, 16-Jul-2009 21:25:05 GMT;
    path=/
Run Code Online (Sandbox Code Playgroud)

或者(当我将域设置为.localhost时):

Set-Cookie:
    name=value;
    domain=.localhost;
    expires=Thu, 16-Jul-2009 21:25:05 GMT;
    path=/
Run Code Online (Sandbox Code Playgroud)

在任何一种情况下,都不会存储cookie.

IE8:我没有使用任何额外的工具,但cookie似乎也没有存储,因为它不会在后续请求中发回.

Opera 9.64: localhost和.localhost都工作,但是当我检查Preferences中的cookie列表时,域名设置为localhost.local,即使它列在localhost下(在列表分组中).

Safari 4: localhost和.localhost都可以工作,但它们在Preferences中始终列为.localhost.另一方面,没有显式域的cookie,它显示为localhost(无点).

localhost有什么问题?由于存在这么多的不一致,必须有一些涉及localhost的特殊规则.另外,我不完全清楚为什么域名必须以点为前缀?RFC 2109明确声明:

Domain属性的值不包含嵌入点或不以点开头.

为什么?该文件表明它必须对安全做些什么.我不得不承认我没有阅读整个规范(稍后可能会这样做),但听起来有点奇怪.基于此,在localhost上设置cookie是不可能的.

小智 219

根据设计,域名必须至少有两个点; 否则浏览器会认为它们无效.(参见http://curl.haxx.se/rfc/cookie_spec.html上的参考资料)

在处理时localhost,必须完全省略cookie域.只要将它设置为""NULLFALSE代替的"localhost"是不够的.

对于PHP,请参阅http://php.net/manual/en/function.setcookie.php#73107上的注释.

如果使用Java Servlet API,请不要调用该cookie.setDomain("...")方法.

  • 不确定为什么每个人都是+ 1'这个,我将cookie的域设置为null或false或空字符串,如果在localhost上它仍然不保存. (76认同)
  • @Justin:嗯,你可能需要在设置cookie时完全省略`Domain =`参数.如果你只是将域设置为null或为空,那么你的框架可能会发送带有该值的`Domain =`参数,而不是省略它?检查例如Firebug. (8认同)
  • 我在RFC6265中没有看到关于域中两个点的任何内容:http://tools.ietf.org/html/rfc6265#section-5.2.3 .Net说为你所有的主机设置为".local"本地域名.这似乎与Opera/Safari一致http://msdn.microsoft.com/en-us/library/ckch3yd2.aspx (5认同)
  • 这个措辞有点差."设置为null或false或空字符串"应为"根本不设置cookie的'domain'部分." 例如,使用一个简单的测试来完全忽略cookie的域部分适用于localhost:`((domain && domain!=="localhost")?"; domain ="+ domain:"") (4认同)
  • 截至目前,这在 Firefox 和 Chrome 上都不起作用。 (3认同)
  • @Ralph,一百万谢谢,这件事让我疯狂了几个小时.希望将Domain设置为null(我在.Net服务器堆栈中)就像一个魅力. (2认同)

Rob*_*ujo 32

跨站点cookies问题我是这样解决的:

\n

后端

\n

服务器端

\n
    \n
  • 服务于:http://localhost:8080
    • \n
  • 创建响应时,设置 Cookie
    • \n
\n

属性:

\n
SameSite=None; Secure; Path=/\n
Run Code Online (Sandbox Code Playgroud)\n

客户端

\n

前端(在我的例子中是 Angular)

\n
    \n
  • 服务于:http://localhost:4200/
    • \n
  • 当向服务器(后端)发送请求时
    • \n
\n

设置 XHR.withCredentials=true:

\n
var xhr = new XMLHttpRequest();\nxhr.open(\'GET\', \'http://localhost:8080/\', true);\nxhr.withCredentials = true;\nxhr.send(null);\n
Run Code Online (Sandbox Code Playgroud)\n

我的解读:

\n
    \n

  • 后端和前端域不同时,浏览器将根据收到的响应决定是否将 cookie 保存在前端域 cookie 存储中。withCredentials=true仅当 XHR 请求具有并且收到正确的服务器 Cookie 属性(HTTP Set-Cookie 标头)时,浏览器才允许发送 Cookie

    \n
    • \n

  • 当后端和前端域不同时,浏览器将决定是否在请求中发送 cookie 。仅当 XHR 请求有时浏览器才会允许此操作withCredentials=true

    \n
    • \n

  • 换句话说,如果withCredentials=true省略 - cookie 不会在请求中发送,也不会从响应中接收和保存

    \n
    • \n

  • 收到的 cookie 始终存储在浏览器 cookie 存储中的前端域名下。如果服务器域不同并且cookie保存成功,则效果与最初由前端域发送的效果相同。

    \n
    • \n

  • 如果SameSite=None省略 cookie 属性,今天的浏览器(Firefox/Chrome)将使用默认Lax模式,这对于跨站点 cookie 来说过于严格

    \n
    • \n

  • 如果Securedcookie 属性被省略 - 那么SameSite=None将被忽略 - 它需要Secured设置

    \n
    • \n

  • 对于 localhost Securedcookie 属性浏览器不需要 HTTPS / SSL,http即可工作 - 无需在以下情况下提供前端或后端服务https://localhost ...

    \n
    • \n
\n

编辑 2022-03-02 - 对于 Safari (v15.1),这不是真的 -> 在 Safari http://localhost + 带有 Secure 的 cookie - cookie 将被忽略,不会保存在浏览器中(解决方案:对于 Safari + http: //localhost 删除 Secure 和 SameSite(如果提供)。

\n

编辑 2023-01-13 - @Barnaby 报告“Firefox 拒绝设置它:\'已被拒绝,因为非 HTTPS cookie 可以 \xe2\x80\x99t 设置为 \xe2\x80\x9csecure\xe2\x80\ x9d.\'" 如果是这种情况 - Safari 的解决方案应该有效(请参阅上面的编辑 2022-03-02)。

\n

诊断提示:

\n
    \n
  • 为了检查 cookie 是否已发送 - 打开浏览器开发人员工具并检查“网络”选项卡。找到对后端的请求并检查 headers - 在请求标头中搜索 Cookie 标头,并在响应标头中搜索 Set-Cookie
    • \n
  • 为了检查 cookie 是否已保存 - 打开浏览器开发人员工具,请参阅存储管理器 (Firefox),检查 Cookie 并搜索前端域名,检查 cookie 是否存在,如果存在,则检查它的创建时间...
    • \n
  • 不要忘记先在后端设置 CORS
    • \n
\n

参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

\n

xgr*_*sch 29

我大致同意@Ralph Buchfelder,但是在我的本地机器上尝试复制具有多个子域(例如example.com,fr.example.com,de.example.com)的系统时,通过实验进行了一些扩展. OS X/Apache/Chrome | Firefox).

我已经编辑/ etc/hosts指向一些想象中的子域名为127.0.0.1:

127.0.0.1 localexample.com
127.0.0.1 fr.localexample.com
127.0.0.1 de.localexample.com
Run Code Online (Sandbox Code Playgroud)

如果我正在处理fr.localexample.com并且我将domain参数保留为out,则cookie会正确存储到fr.localexample.com,但在其他子域中不可见.

如果我使用".localexample.com"的域名,cookie将被正确地储存fr.localexample.com,并且在其他子域可见.

如果我使用"localexample.com"域,或者当我尝试的域名只是"localexample"或"localhost"时,cookie就不会被存储.

如果我使用"fr.localexample.com"或".fr.localexample.com"域,则cookie会正确存储到fr.localexample.com,并且在其他子域中(正确)不可见.

因此,要求您在域中至少需要两个点似乎是正确的,即使我不明白为什么它应该是.

如果有人想尝试这个,这里有一些有用的代码:

<html>
<head>
<title>
Testing cookies
</title>
</head>
<body>
<?php
header('HTTP/1.0 200');
$domain = 'fr.localexample.com';    // Change this to the domain you want to test.
if (!empty($_GET['v'])) {
    $val = $_GET['v'];
    print "Setting cookie to $val<br/>";
    setcookie("mycookie", $val, time() + 48 * 3600, '/', $domain);
}
print "<pre>";
print "Cookie:<br/>";
var_dump($_COOKIE);
print "Server:<br/>";
var_dump($_SERVER);
print "</pre>";
?>
</body>
</html>
Run Code Online (Sandbox Code Playgroud)

Amp*_*mpT 27

localhost:你可以使用:domain: ".app.localhost"它会工作.在"域"参数需要1个或多个点的域名设置Cookie.然后,您可以在localhost子域中运行会话,例如:api.app.localhost:3000.

  • ``domain:'127.0.0.1'``对我没用. (4认同)
  • 还使用 Express 3.x 在 Node.js 服务器上进行了测试和工作,在``express.session({cookie: { domain: '.app.localhost', maxAge: 24 * 60 * 60 * 1000 }})`中` (3认同)
  • 如果您使用的是本地域,则应选择此选项作为答案!在子域之前放置一个点可以解决我的问题. (3认同)

Sco*_*nro 13

当使用显式域"localhost"设置cookie时,如下所示......

Set-Cookie:name = value; domain = localhost ; 到期=周四,2009年7月16日21:25:05 GMT; 路径= /

...然后浏览器忽略它,因为它不包括至少两个句点,并且不是七个特殊处理的顶级域之一.

...域必须至少有两(2)或三(3)个句点,以防止形式的域:".com",".edu"和"va.us".在下面列出的七个特殊顶级域之一中失败的任何域只需要两个句点.任何其他域名至少需要三个.七个特殊的顶级域名是:"COM","EDU","NET","ORG","GOV","MIL"和"INT".

请注意,上述期间数可能假定需要一个领先期.然而,在现代浏览器忽略了这个时期,它应该可以阅读......

至少一(1)或两(2)个时期

请注意,domain属性的默认值是生成cookie响应的服务器的主机名.

因此,没有为localhost设置cookie的解决方法是简单地不指定域属性并让浏览器使用默认值 - 这似乎没有与domain属性中的显式值相同的约束.

  • 将域留空(根本不设置)不会导致 Chrome 保留本地主机的 cookie。它仍然忽略它。请注意,这仅适用于“永久”cookie(设置到期日期的 cookie),因为它会保留本地主机的“会话”cookie(未设置到期日期的 cookie)。 (2认同)

Aid*_*wen 9

如果你从另一个域设置cookie(即你通过做一个XHR跨源请求设置cookie),那么你需要确保你的设置withCredentials属性为true的XMLHttpRequest的使用来获取cookie的描述在这里

  • 是的,即使如此。它仍然不适用于跨域请求。浏览器 - Safari、IE 11 (2认同)

小智 6

使用PHP;此页面上没有任何内容对我有用。我最终在我的代码中意识到PHP 的secure参数始终被设置为.session_set_cookie_params()TRUE

由于我没有localhost使用 HTTPS 进行访问,因此我的浏览器永远不会接受 cookie。因此,我修改了代码的该部分,以secure根据是否$_SERVER['HTTP_HOST']存在有条件地设置参数。localhost现在效果很好。

归档时间:

查看次数:

191961 次

最近记录:

6 年 前
cookie域中的点前缀是什么意思? 70
localhost cookie未设置 7
为什么 Chrome 不能设置 cookie 5
更多相关链接
相关归档
使用Node.js HTTP Server获取并设置单个Cookie 149
是否可以使用一个Set-Cookie设置多个cookie? 11
在两个网站之间共享身份验 6
如何用PHP中的新值覆盖现有Cookie? 4
PHP设置cookie生存期 4
Kohana_Exception [0]:需要有效的cookie盐.请设置Cookie :: $ salt 4
如何用Ajax/jQuery设置cookie? 3
我可以动态更改 asp.net 中的 FormsAuthentication cookie 名称吗? 2
重复的cookie 1
带有 .net Core 的 Angular Cookie 1
难疑归档
package.json中的波浪号(〜)和插入符号(^)有什么区别? 3111
如何修改指定的提交? 2077
在GitHub上将图像添加到README.md 1675
如何在Linux中更改echo的输出颜色 1582
lodash和下划线之间的差异 1566
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
何时使用虚拟析构函数? 1420
如何在Java中将数字舍入到n个小数位 1209
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
我可以将多个MySQL行连接到一个字段中吗? 1143