虽然我意识到这通常与跨站点脚本攻击有关,但我想知道会话如何在属于单个域的多个子域中保持有效(例如:用户只登录一次,并且能够使用同一会话访问 subdomain1.domain.com 和 subdomain2.domain.com)。我想我首先需要了解它是如何工作的,但到目前为止我还没有找到任何相关的东西。
但话又说回来,也许我没有问正确的问题。
提前致谢:)
【问题讨论】:
标签: asp.net cookies cross-domain subdomain
您可以为特定域设置 cookie。
在php中,setCookie()方法包含一个参数,可以在其中指定顶级域,所以cookie对所有子域都有效。根据您的标签,我看到您正在使用 asp.net。可能这对于asp也存在...
稍微搜索一下asp:
试试这个:
Response.Cookies("CookieName").Domain = ".mydomain.com"
或阅读this
【讨论】:
Inproc 会话不能保持有效,但是您可以对 Web 应用程序进行编码以允许跨多个子域的 cookie。您需要将域设置为:
Response.Cookies("CookieName").Domain = ".mydomain.com"
【讨论】:
默认情况下,一个站点的所有 cookie 都存储在客户端上,并且所有 cookie 都会与对该站点的任何请求一起发送到服务器。换句话说,站点中的每个页面都会获取该站点的所有 cookie。但是,您可以通过两种方式设置 cookie 的范围:
您可以了解更多here。
【讨论】:
关于为域设置 cookie 以允许子域接收该 cookie 的 cmets 为您提供了这一方面,但缺少的是会话的一致性。
我认为这非常类似于在场中的服务器之间维护状态的问题,解决方案可能是确保您的会话存储在两个站点之间保持一致(如果它们不是来自同一“网站”的服务器) IIS)。您可以将会话存储移动到 SQL Server (HOW TO: Configure SQL Server to Store ASP.NET Session State) 中,这可能会起到这样的作用,因为每个站点在查找与它们所提供的 cookie 相关的会话数据时都会查询同一个存储。
我希望这能让你走上正轨。
【讨论】:
有很多方法可以跨域共享会话数据或 cookie 数据。最简单的是通过共享数据存储在服务器端共享它。但如果有那么简单,你就不会问这个问题了。
另一种方法同样简单。域one.com 包含一些会话数据,例如name=aleem 和id=123,并希望将其传递给two.com。它将遵循以下步骤:
two.com/api/?name=aleem&id=123
two.com 通过查询参数获取数据时,它会用数据创建一个cookie。此 cookie 将存储在 two.com 域下。two.com 将重定向回REFERER,在这种情况下恰好是one.com
这是一个简化的场景。域two.com 需要能够信任one.com,不仅如此,它还需要知道请求是真实的,而不仅仅是由用户制作的,因此您需要使用公钥/私钥来缓解这种情况。
【讨论】:
如果你有能力设置一个公共子域,你可以这样做:
在您的子域 html 文件中,在顶部包含一个 javascript 文件,如下所示:
<script src="http: //common.domain.com/check.asp"></script>
在 check.asp 中,查找您的已登录 cookie,如果不存在,则显示一个页面,例如 http://common.domain.com/login.asp 使用类似
<%
if (cookie_not_found){
%>
location.href = "http: //common.domain.com/login.asp";
<%
}
%>
一旦用户提交用户名密码,将其提交回相同的 login.asp 并设置会话 cookie,(将在 common.domain.com 域中设置)然后重定向到 http://subdomain1.domain.com。
现在会发生的是,将对嵌入的“common.domain.com/check.asp”进行调用,common.domain.com 的 cookie 将与请求一起由浏览器发送。因此,即使您在 subdomain1.domain.com 中,您也会知道您的会话是否有效。
【讨论】:
【讨论】: