如果错误设置cooke的domain值,将会怎么样?

1,016 阅读4分钟

目录

  • 全局头脑风暴
  • Cookie常见姿势、疑难梳理
  • cookie : hostonly是什么鬼
  • 有关cookie hostonly 属性的爬坑经历

开始文章之前,我们先全局预览一下有关cookie的技能体系,找准本文重点着墨的hostonly在cookie 中的位置。

Cookie常见姿势、疑难梳理

目前w3c定义浏览器存放每个cookie需要包含以下字段:

cookie属性基本描述举例备注
name=valuecookie键值对id=a3fWa
expirescookie过期时间expires=Tue, 10-Jul-2013 08:30:18 GMT
domain指定哪些主机可以接收cookieDomain=mozilla.org; 不设置则等于当前页面domian定义cookie将被种植在哪些地方
path指示哪些路径的请求会发送cookiePath=/docs定义cookie将会种植在哪些地方
secure指定通过https请求发送cookie限制后续请求访问该cookie的姿势
httponly指示是否允许通过JavaScript Document.cookie API访问cookie限制后续请求访问该cookie的姿势
samesite让服务器指定是否允许跨站请求发送cookieSameSite=Lax限制后续的跨站访问是否允许携带cookie
  • cookie属性之间用;连接;
  • 多个cookie设置,使用多次Set-Cookieheader
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: X-BAT-FullTicketId=TGT-969171-******;domain=bat.com; path=/; samesite=none; httponly

[page content]

以上属性决定了后续请求能否正常访问cookie并携带cookie( 注意: 先能访问cookie,再聊携带cookie ),

其中与cookie安全密切相关的三个属性:

  • secure
  • httponly
  • samesite

这三个cookie属性也是单点登录、跨域访问常遇到的技术考点。

HostOnly Cookie是什么鬼?

今天介绍一个不常见的cookie的属性hostonly,但是也曾给码甲哥造成了一点阻碍。

hostonly 是来标记该cookie与创建cookie的页面主机名的相关性。

① 这是一个不可手动修改的cookie属性,类似 Sec-Fetch-、 Origin标头,都是浏览器自动判断并赋值。

② 判断逻辑:

If the domain-attribute is non-empty:

  If the canonicalized request-host does not domain-match the domain-attribute:

    Ignore the cookie entirely and abort these steps.

  Otherwise:

    Set the cookie's host-only-flag to false.

    Set the cookie's domain to the domain-attribute.

Otherwise:

  Set the cookie's host-only-flag to true.

  Set the cookie's domain to the canonicalized request-host.

hostonly 定义这个cookie与当前页面的host相关性, 由浏览器自动推断

一般情况下,不需要刻意关注。

只有下面这个策略需要注意:

  • 如果cookie由www.example.com页面设置,并且没有指定Domain属性,则该cookie domain将被设置为www.example.com,并且cookie将是一个hostonly cookie, 仅对www.example.com主机的请求能携带该cookie。

爬坑经历

我当时在做一个单点登录的时候,原意图是: 设置cookie的domain属性为父域名,向子域名请求时能自动携带cookie, 但事与愿违,子域服务器始终收不到cookie。

Chrome浏览器开发者工具显示:

疑点1:我的这个cookie在请求子域时被滤除了。

鼠标悬停黑色感叹号,显示我这是一个hostonly cookie, 这就奇怪了,这个cookie的domain值也是正常的,但是多了一个hostonly属性。

疑点2:在原种植cookie的响应流Set-Cookie header,这个cookie的domain键值对消失了。

围观设置Cookie的错误代码:

结合hostonly的判断逻辑, 我大概知道了。

大概就是我偷懒使用了单点登录的回调地址'bat.com/home'作为domain属性值,以为能自动解析出正常的domain。

实际上这个错误姿势经历了很长的流程:

  • golang服务器设置Cookie时,发现非法domain属性,程序会丢弃cookie的domain属性, 到浏览器set-cookie就没有domain属性;
  • 浏览器认定该cookie hostonly,domain被强制设置为当前页面的domain;
  • 目前是父子域名的请求交互,必然不能满足 hostonly cookie, 对于子域名的请求,必然不能携带该cookie。

解决问题的办法也很明确,设置正确合法的domain属性值,就不会出现后续的幺蛾子,上线验证有效。