cookie path

原創 acssor-leon 2020-02-21 00:45

本文轉自:http://www.cnblogs.com/ainiaa/archive/2011/11/18/2253841.html


以前使用cookie的時候 沒有在意path的問題。這次公司商城實現了靜態化的功能,多了2級目錄。導致了我在商品詳情頁面設置好的cookie(path爲/good/商品ID/)在店鋪首頁竟然訪問不到(店鋪首頁的path爲'/store/')。cookie的名稱都是一致的。唯一不同的只有path。在商品詳情頁設置cookie的時候吧path設置成‘/’,這樣修改之後就可以正常的在店鋪首頁取到設置好的cookie了。

使用關鍵字 javascript cookie  path 還搜索到了,原來10年來IE一直存在一個cookie path的一個bug(原文地址:http://conkeyn.iteye.com/blog/423549)。

 

手上一個廣告項目,在Firefox下順利測試通過。自信JS代碼能兼容IE,FF測試過後隨手就仍給CS測試,結果CS反饋說有問題。排查一番,發現居然和Javascript 設置 Cookie 時的 path 有關。IE下Cookie種在/或者URL所在路徑時正常,如果Cookie值作用域在當前URL下則IE下javascript 無法獲取到設置的Cookie值。

看下面演示代碼:

 

  1. var cookie_name = "name";  
  2. var cookie_value = "value";  
  3. expires = new Date();  
  4. expires.setTime(expires.getTime() + 86400 * 1000);  
  5.   
  6. // 有Bug document.cookie無法獨到cookie_name值  
  7. document.cookie = cookie_name + "=" + encodeURIComponent(cookie_value)  
  8.         + "; expires=" + expires.toGMTString() + "; path="  
  9.         + window.location.pathname;  
  10. // 正常  
  11. document.cookie = cookie_name + "=" + encodeURIComponent(cookie_value)  
  12.         + "; expires=" + expires.toGMTString() + "; path=/test/";  
  13. // 正常  
  14. document.cookie = "cookie_name=" + encodeURIComponent(cookie_value)  
  15.         + "; expires=" + expires.toGMTString() + "; path=/";  

 

懷疑是IE的Bug、
在google上 搜了下關鍵詞: ie javascript cookie path bug
同樣的問題在罪與罰的博客上也有描述,而且博主聯繫過微軟IEBLOG的Eric。得到的回覆是:

You have uncovered an IE bug where cookies that are setwith a path that contains a filename (e.g. /page.htm) are notaccessible to the document.cookie function, although they are correctlysent to the server in the HTTP header. This has been broken for atleast 10 years and unfortunately probably will not be fixed in IE8.

Thanks,

-Eric

一個存在10年的Bug。。。而且IE8也不會修復,實在是無語。

需求是cookie值只對當前頁面有效,沒辦法只好用替代方案,看代碼:

 

  1. //IE Cookie Bug 替代方案  
  2. var cookie_path = window.location.pathname;  
  3. var cookie_name = encodeURIComponent(cookie_path.substring(cookie_path  
  4.         .lastIndexOf('/') + 1));  
  5. cookie_path = cookie_path.substring(0, cookie_path.lastIndexOf('/') + 1);  
  6. var cookie_value = "value";  
  7. expires = new Date();  
  8. expires.setTime(expires.getTime() + 86400 * 1000);  
  9.   
  10. document.cookie = cookie_name + "=" + encodeURIComponent(cookie_value)  
  11.         + "; expires=" + expires.toGMTString() + "; path=" + cookie_path;  

 替代方案根據每個頁面的URL文件名來做Cookie名,有效範圍在當前頁路經下。
如:url 等於 /test/test.html
則cookie名爲test.html,有效路徑爲/test/
這樣也可以做到同一個js部署在每個頁面上能讀到只對當前URL有效的cookie值。代價是當用戶在同一級目錄下訪問很多頁面時會導致cookie值不斷增大。結果是當前路徑下的每個http請求都帶很長一段的cookie,直接導致服務器接收客戶端request的header長度增長,流量增長的同時服務器負擔也變重。而且根據 RFC 2109 的定義Cookie也有長度和個數限制,IE允許的最大 Cookie 長度是 4096 字節,允許50個 Cookie 名-值對。如果要突破50個名-值對的限制,可以在一個名-值使用Cookie字典的方式保存更多的Cookie變量。

http://blog.seateng.cn/archives/2009/03/ie-javascript-cookie-path-bug.html

這次的靜態化功能讓我學到了cookie的這個問題。很是高興啊。

這次靜態化功能還涉及到了一個跨域請求的問題。事情是這樣的:

我在搜索模塊(域名search.emall.xxx.xxx)需要顯示當前用戶的商品瀏覽歷史。二者個商品瀏覽歷史是在主站的cookie裏面存儲的。爲了方便我們把COOKIE_DOMAIN都設置成了一樣的一級域名,使用js的cookie卻不能獲得設置好的cookie。但是,使用firebug + firecookie卻可以清楚的看到cookie是存在的且沒有過期。唯一不同的就好似cookie的domain和當前模塊的domain一致(cookie是在主站設置好的emall.xxx.xxx,當前search的域名爲search.emall.xxx.xxx)。 這很容易就讓人想到是cookie domain的問題導致的。問題原因找到了,解決它。使用js不行我就我就使用ajax的方式請求主站,在主站吧cookie取出來,然後再原樣的返回。編碼,運行,反先,ajax請求還是不能獲得(使用get的方式發送請求)。把ajax請求的地址放在地址欄裏面,確實有內容返回,但是使用ajax請求的話,還是不能獲得cookie的值。很顯然,這種情況就是傳說中的跨域請求的問題。這問題咱沒有解決過,怎麼辦那?突然想起來了,該模塊下用戶登錄信息就是通過ajax異步取出來的。同時ajax請求爲什麼用戶的登錄信息可以拿到我的爲什麼就拿不到???

找原因。找到請求用戶信息的代碼,才發現,原來請求的時候和我的ajax還有一點不一樣。請求用戶信息的方式爲:

JS代碼如下:

複製代碼
    //跨域獲取數據
     jQuery.ajax({
        type : "GET",
        url : temp_domain_url+"/index.php?",
        data   : "act=get_user_info&php_session_id="+jQuery.cookie('COOKIE_ID')+"&jsoncallback=?",
        dataType : "jsonp",
        jsonnp : 'callback',
        success:function(data){
      ...
      ...
      ...
    }
  });
複製代碼

php代碼如下:

複製代碼
function get_user_info()
{
    $gbh_goods_info = $_COOKIE['gbh_goods_info'] ? $_COOKIE['gbh_goods_info'] : json_encode(false);
        if ($gbh_goods_info && get_magic_quotes_gpc()) 
        {//沒有這個的話會出現錯誤
             $gbh_goods_info = stripslashes($gbh_goods_info);
        }
        $gbh_goods_info = json_decode($gbh_goods_info);
        echo $_GET['callback']."({msg: ".json_encode($gbh_goods_info)."});";
        exit;
    }
複製代碼

這才弄明白到底是什麼原因了。

照着葫蘆畫瓢終於吧功能實現了。。。。

 

參考:

cookie path問題相關

http://www.cftea.com/c/825.asp

http://webgroup.blog.163.com/blog/static/18874305120112150421688/

跨域請求相關問題:

http://wenku.baidu.com/view/315c51c66137ee06eff91856.html

http://www.cnblogs.com/JimmyGe/archive/2011/10/17/2215791.html

http://club.topsage.com/thread-2538598-1-1.html

http://www.chinaz.com/program/2010/0111/103511_4.shtml

http://blog.s135.com/ajaxcdr

http://www.iteye.com/topic/859280

http://site518.net/javascript-cross-domain-request/


acssor-leon
發佈了37 篇原創文章 · 獲贊 16 · 訪問量 20萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

瀏覽器輸入地址訪問網頁過程

瀏覽器輸入地址 當在瀏覽器中輸入網址的時候,瀏覽器其實就可能的匹配可能得 url 了,它會從歷史記錄,書籤等地方,找到已經輸入的字符串可能對應的 url,然後給出智能提示,讓你可以補全url地址。對於 google的chrome 的瀏覽

原創 2024-04-16 11:34:39

Python中兩種網絡編程方式:Socket和HTTP協議

本文分享自華爲雲社區《Python網絡編程實踐從Socket到HTTP協議的探索與實現》,作者:檸檬味擁抱。 在當今互聯網時代,網絡編程是程序員不可或缺的一項技能。Python作爲一種高級編程語言,提供了豐富的網絡編程庫,使得開發者能夠輕鬆

原創 2024-04-16 10:33:01

Python和Pytest實現登錄態的Cookie繞過方法詳解

1. 背景介紹 京東作爲中國最大的綜合性電商平臺之一,擁有龐大的用戶羣體和海量的商品信息。對於開發人員和測試人員來說,如何高效地進行京東網站的數據爬取和接口測試至關重要。而在進行這些操作時,登錄狀態是一個不可或缺的環節。本文將介紹如何利

原創 2024-04-09 23:26:18

Higress 基於自定義插件訪問 Redis

作者:鈺誠 簡介 基於 wasm 機制,Higress 提供了優秀的可擴展性,用戶可以基於 Go/C++/Rust 編寫 wasm 插件,自定義請求處理邏輯,滿足用戶的個性化需求,目前插件已經支持 redis 調用,使得用戶能夠編寫有狀態的

原創 2024-04-01 21:12:22

無憂微服務:如何實現大流量下新版本的發佈自由

作者:項良、十眠 微服務上雲門檻降低,用好微服務纔是關鍵 據調研數據顯示,約 70% 的生產故障是由變更引起的。在阿里雲上的企業應用如茶百道、極氪汽車和來電等,他們是如何解決變更引起的穩定性風險,實現了在白天高流量情況下應用發佈平滑無損。今

原創 2024-03-28 21:13:20

踏入IOT安全世界:DIR-815路由器多次溢出漏洞分析復現

前言 在進行IOT安全領域的學習和實踐中,經典漏洞的復現是必不可少的一環。本文將介紹一個經典漏洞,涉及到Binwalk、firmware-mod-kit、FirmAE等工具的使用,以及對DIR-815路由器中多次溢出漏洞的復現過程。 固件

原創 2024-03-26 23:52:14

O2OA(翱途)開發平臺前端安全配置建議(一)

O2OA開發平臺是一個集成了多種功能的開發環境,前端安全在其中顯得尤爲重要。前端是用戶與平臺交互的直接界面,任何安全漏洞都可能被惡意用戶利用,導致用戶數據泄露、非法操作或系統被攻擊。因此,前端安全是確保整個系統安全的第一道防線。 其次,隨着

原創 2024-03-21 22:47:41

全新架構!日誌服務 SLS 自研免登錄方案發布

知乎:靈亦 引言 很多用戶在使用日誌服務 SLS 時,採用 STS 這種免登的方式,能夠快速將日誌服務的頁面集成到三方的系統中。STS 模式是非常經典且成熟的免登方案,它的優點非常多,例如:能夠充分利用阿里雲賬號 RAM 體系、能夠通用地集

原創 2024-03-19 09:13:26

Javascript基礎知識體系化學習總結(九)存儲

Javascript基礎知識體系化學習總結(九)存儲 一、cookie 1.本身是由於瀏覽器和服務端的通信,被用來做存儲。 2.既然是借用的,那麼會存在一些問題如: 儲存量小僅僅是4K; 必須http請求時需要發送到服務器端,增加

ODST_TheSolverO5 2020-07-08 10:59:37

P18【網絡請求】15-requests處理cookie信息

#encoding: utf-8 import requests # response = requests.get('https://www.baidu.com/') # print(response.cookies.get_d

jason3586596 2020-07-07 21:10:38

node.js中的cookie和session

用慣了框架中的插件,最近在重溫node基礎模塊時也不禁在想:什麼是Cookie?什麼是Session?兩者的區別和聯繫有哪些?Node.js是否提供了相應的模塊來管理存儲Session?如果沒有提供相應模塊,我們應該如何實現一個類

云小梦 2020-07-07 20:51:19

HTTP協議簡單認識

Http協議的認識HTPP協議的定義:全稱 Hyper text transfer protocol (超文本傳輸協議),主要作用是客戶端和服務器端的交互,實現從WWW將文本傳輸到客戶端進行渲染顯示,就是我們常說的c/s,客戶端和服務器

匿名程序员老师 2020-07-07 19:51:36

【計算機網絡】Web 訪問中的 cookie, seesion, token

Web 訪問中的 cookie, seesion, token cookie HTTP cookie(也叫 Web Cookie 或瀏覽器 Cookie)是服務器發送到用戶瀏覽器並保存在本地的一小塊數據,它會在瀏覽器下次向同一服務

Wyman蚊子 2020-07-07 17:02:51

兩個SpringSecurity本地項目登錄衝突問題

問題產生 因爲最近要做資源認證服務器,就搞了兩個集成SpringSecurity的項目,在開啓了loginPage("/portal/login")後,登錄的時候發現了一個問題:8085端口的項目A和8080端口的項目B不可以同時

&Low_Key 2020-07-07 17:01:12

瀏覽器本地存儲cookie、localStorage 與 sessionStorage

首先來了解下HTTP協議 http:超文本傳輸協議,無狀態,同一個客戶端的這次請求和上次請求沒有對應關係。 https:超文本傳輸安全協議,HTTP + SSL / TLS,也就是在 HTTP 上又加了一層處理加密信息的模塊。服

青颜的天空 2020-07-07 13:19:25