Cookie 的 Domain 设置到底该怎么配才安全?
我在部署一个前后端分离的项目,后端设置 Cookie 时指定了 Domain 为 .example.com,但前端在子域名 app.example.com 下死活读不到这个 Cookie,是不是 Domain 配置有啥坑?
我试过不设 Domain、设成 example.com、也试过带点的 .example.com,但要么主站能读子站不能读,要么反过来。网上说法又乱,到底该怎么写才对?
/* 这是我前端用的跨域请求配置(虽然和 Cookie 不直接相关,但怕影响) */
.fetch('/api/login', {
credentials: 'include'
})
- 2
回答
124浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
- 1
回答
13浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
- 1
回答
16浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在开发一个子域名下的前端应用,比如 app.example.com,后端设置 Cookie 时指定了 Domain 为 .example.com,这样主站和其他子域都能读到。但听说这样有安全风险,是...
- 2
回答
58浏览
Postman中手动设置的Cookie怎么没随请求发送?
在测试跨域接口时需要模拟登录态,我手动在Postman的Cookies标签里添加了domain.com域的cookie,但实际发送请求时header里没有带上它。 之前用前端代码设置过类似逻辑:doc...
- 1
回答
5浏览
X-Permitted-Cross-Domain-Policies 安全头到底该怎么配?
最近在做前端安全加固,看到建议加 X-Permitted-Cross-Domain-Policies 头,但文档说法不一。我试过设成 "none",结果 Flash 资源加载报错(虽然现在没人用 Fl...
- 1
回答
52浏览
Cookie 设置了 Secure 标志后本地开发无法读取,怎么办?
我在后端设置 Cookie 时加了 Secure 标志,结果本地用 http://localhost:3000 开发时前端完全拿不到这个 Cookie,控制台也看不到。但线上 HTTPS 环境又没问题...
- 1
回答
26浏览
移动端登录后Cookie不安全,怎么设置才防窃取?
我最近在用 Vue 做一个移动端的登录功能,后端返回了 Set-Cookie,但我发现这些 Cookie 在 Chrome DevTools 里能直接看到,而且没加 Secure 或 HttpOnly...
- 1
回答
22浏览
SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现...
- 2
回答
50浏览
SameSite=Lax设置后,跨域请求携带Cookie失效怎么办?
我在项目中设置了Cookie的SameSite=Lax和Secure属性,但跨域请求到第三方支付接口时,Cookie没有被携带,导致登录失效。后端返回的Set-Cookie头看起来没问题,前端请求也用...
- 2
回答
51浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
