关于cookie跨域的一些个人经验实录-php手册-PHP中文网

首页

php教程

php手册

关于cookie跨域的一些个人经验实录

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 26, 2016 am 08:20 AM

最近在工作中小组到一个cookie跨域设置的问题，然后就一些知识点进步了梳理，然后到网上搜索这方面的资料。本来这些都是一些基础知识，但是网上很多资料参差不齐，有的错误的文章来被转了很多次，所以我自己通过测试来整理这些问题。

第一个:cookie的setDomain属性到底能不能设置成当前应用程序所在的域之外的域名。比如我当前应用的域名是：www.test1.com，那么我在当前的应用里设置cookie的Domain为".test2.com"，会有什么效果？浏览器会不会接受服务器返回来的cookie？假如浏览器真的接受了服务端返回的cookie,那么浏览器下次真的访问www.test2.com时到底会不会把之前的cookie给带上？

现在我写了两个web程序，每个web程序都有一个servlet，同时修改host文件，第一个应用的域名是：www.test1.com，第二个域名是：www.test2.com。并且使用火狐狸和IE10来做测试，测试过程如下：

1）首先在www.test1.com的程序中设置cookie的domain为“.test2.com”，访问该应用，在这种情况下IE和火狐狸的浏览器都会接受cookie，而且其Domain很明确是.test2.com，这里就说明cookie是可以写到浏览器里的，而不是很多地方说的被忽略云云。但是如果再次访问的时候，无论是访问www.test1.com或者是www.test2.com都不会把这个cookie带过去。这就验证了cookiede setDomain这个方法是不能设置当前应用所在域之外的域名的，之前看到很多文章说的结论是在www.test1.com的应用中设置cookie的domain为www.test2.com，则访问www.test2.com时就能在test2.com的应用中取到该cookie，这完全是不负责任的扯淡,那种情形只适合共同根域名的情况。辩证想一想都不可能，否则我就能操纵百度或者阿里的网站来读取我们自己定义的cookie？

2）现在我们设置www.test1.com的域名为自己，那么如果我们在www.test1.com的网页中使用Iframe嵌入www.test2.com的应用，那么会是什么结果？

首先我们访问了www.test1.com，这个时候www.test1.com和www.test2.com的cookie都写到浏览器里了，无论是在IE还是在火狐狸里都是如此，那么再次访问www.test1.com的时候，IE和火狐狸这个时候不同的地方就显示出来了。这个时候IE只会把www.test1.com的cookie带上，而不会带www.test2.com的cookie的（也就是说在www.test2.com的应用里是拿不到cookie的），而且这个时候你再次专门访问www.test2.com也不会拿到之前明明已经写入到浏览器里www.test2.com域名下的cookie。而如果在火狐狸里，则www.test1.com的应用中会取到www.test1.com的cookie，而且无论是iframe内嵌或者直接访问www.test2.com的应用里都会拿到自己域名下的cookie。这种情况使用和