如此处所述,您无法重定向到设置了自定义标头的另一个域,无论您使用什么语言或框架。 HTTP 协议中的重定向基本上是与响应关联的标头(即位置),并且不允许添加任何指向目标位置的标头。当您在示例中添加授权标头时,您基本上是为指示浏览器重定向的响应设置该标头,而不是为重定向本身设置该标头。换句话说,您将该标头发送回客户端。
至于 HTTP cookie,浏览器将服务器发送的 cookie 与响应一起存储(使用 Set-Cookie header),然后将 cookie 与请求发送到 Cookie HTTP 标头内的同一服务器。根据文档:
Set-Cookie HTTP 响应标头用于将 cookie 从
服务器发送到用户代理,以便用户代理可以将其发送回
服务器之后。要发送多个 cookie,应在同一响应中发送多个 Set-Cookie
标头。
因此,如果这是来自一个应用程序的重定向(带有子域,例如 abc.example.test )到另一个(具有子域,例如 xyz.example.test),两者都具有相同(父)域(并且在创建 cookie 时域标志设置为 example.test),cookie 将在两个应用程序(就像指定了域一样,则始终包含子域)。浏览器将使 cookie 可用于给定域(包括任何子域),无论使用哪种协议 (HTTP/HTTPS) 或端口。您可以使用域和路径标志限制 cookie 的可用性,也可以使用 secure 和 httpOnly 标志限制对 cookie 的访问(请参阅此处和此处,以及 Starlette 文档)。如果没有设置 httpOnly 标志,潜在的攻击者可以通过 JavaScript(JS)读取和修改信息,而带有 httpOnly 属性的 cookie 只会发送到服务器,客户端的 JS 无法访问。
但是,您不能为不同的域设置cookie。如果允许这样做,将会带来巨大的安全缺陷。因此,由于您“尝试将用户从一个应用程序(域)重定向到设置了某些 cookie 的另一个应用程序(域),...*”,因此它不会工作,因为 cookie 只会被发送向同一域发出请求。
解决方案 1
如此处所述的解决方案是让域(应用程序)A 将用户重定向到域(应用程序)B,并在 URL 中传递访问令牌作为查询参数。然后,域 B 将读取令牌并设置自己的 cookie,以便浏览器将存储该 cookie 并将其与每个后续请求一起发送到域 B。
请注意,您应该考虑使用安全 (HTTPS) 通信,以便令牌被加密传输,并在创建 cookie 时设置安全标志。另请注意,在查询字符串中包含令牌会带来严重的安全风险,因为敏感数据永远不应在查询字符串中传递。这是因为作为 URL 一部分的查询字符串出现在浏览器的地址栏中;因此,允许用户查看带有令牌的 URL 并将其添加为书签(意味着它保存在磁盘上)。此外,该 URL 还将进入浏览历史记录,这意味着它无论如何都会被写入磁盘并出现在“历史记录”选项卡中(按 Ctrl H 查看浏览器的历史记录)。上述两种情况都会允许攻击者(以及与您共享计算机/移动设备的人)窃取此类敏感数据。此外,许多浏览器插件/扩展程序会跟踪用户的浏览活动 - 您访问的每个 URL 都会发送到他们的服务器进行分析,以便检测恶意网站并提前警告您。因此,在使用以下方法之前,您应该考虑上述所有内容(有关此主题的相关帖子,请参阅此处、此处和此处)。
为了防止在地址栏中显示 URL,请使用以下方法也在域 B 内使用重定向。一旦域 B 收到以令牌作为查询参数的对 /submit 路由的请求,域 B 将重定向到其中不包含令牌的裸 URL(即其主页)进行响应。由于此重定向,带有令牌的 URL 最终不会出现在浏览历史记录中。虽然这提供了一些针对前面描述的某些攻击的保护,但这并不意味着浏览器扩展等仍然无法捕获带有令牌的 URL。
如果您正在测试此在本地主机上,您需要为应用程序 B 提供不同的域名;否则,如前所述,cookie 将在具有相同域的应用程序之间共享,因此,您最终将收到为域 A 设置的 cookie,并且无法判断该方法是否有效。为此,您必须编辑 /etc/hosts 文件(在 Windows 上,该文件位于 C:WindowsSystem32driversetc 中)并将主机名分配给 127.0.0.1。例如:
127.0.0.1 example.test
您不应该将方案或端口添加到域中,也不应该使用常见的扩展名,例如.com、.net等,否则可能会发生冲突访问互联网上的其他网站。
访问下面的域 A 后,您需要单击提交按钮对 /submit 路由执行 POST 请求以开始重定向。 POST 请求的唯一原因是因为您在示例中使用它,并且我假设您必须发布一些表单数据。否则,您也可以使用 GET 请求。在应用程序 B 中,当执行从 POST 路由(即 /submit)到 GET 路由(即 /)的 RedirectResponse 时,响应状态代码将更改为 status.HTTP_303_SEE_OTHER,如此处、此处和此处所述。应用程序 A 正在侦听端口 8000,而应用程序 B 正在侦听端口 8001。
运行以下两个应用程序,然后通过 http://127.0.0.1:8000/ 访问域 A。
appA.py
127.0.0.1 example.test
appB.py
<code class="python">from fastapi import FastAPI, FastAPI
from fastapi.responses import RedirectResponse, HTMLResponse
import uvicorn
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
return """"
<!DOCTYPE html>
<html>
<body>
<h2>Click the "submit" button to be redirected to domain B</h2>
<form method="POST" action="/submit">
<input type="submit" value="Submit">
</form>
</body>
</html>
"""
@app.post("/submit")
def submit():
token = 'MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3'
redirect_url = f'http://example.test:8001/submit?token={token}'
response = RedirectResponse(redirect_url)
response.set_cookie(key='access-token', value=token, httponly=True) # set cookie for domain A too
return response
if __name__ == '__main__':
uvicorn.run(app, host='0.0.0.0', port=8000)</code>解决方案 2
另一种解决方案是使用Window.postMessage(),它可以实现Window对象之间的跨源通信;例如,页面和它生成的弹出窗口之间,或者页面和嵌入其中的 iframe 之间。有关如何添加事件侦听器以及如何在窗口之间进行通信的示例可以在此处找到。遵循的步骤为:
步骤 1: 将隐藏的 iframe 添加到域 A 到域 B。例如:
<code class="python">from fastapi import FastAPI, Request, status
from fastapi.responses import RedirectResponse
import uvicorn
app = FastAPI()
@app.get('/')
def home(request: Request):
token = request.cookies.get('access-token')
print(token)
return 'You have been successfully redirected to domain B!' \
f' Your access token ends with: {token[-4:]}'
@app.post('/submit')
def submit(request: Request, token: str):
redirect_url = request.url_for('home')
response = RedirectResponse(redirect_url, status_code=status.HTTP_303_SEE_OTHER)
response.set_cookie(key='access-token', value=token, httponly=True)
return response
if __name__ == '__main__':
uvicorn.run(app, host='0.0.0.0', port=8001)</code>步骤 2 : 一旦您从
获得授权令牌以上是如何在域之间重定向并设置 Cookie 或标头?的详细内容。更多信息请关注PHP中文网其他相关文章!
