Açık etki alanına sahip localhost çerezleri

Çerezler hakkında bazı temel şeyleri kaçırmam gerekir. Localhost üzerinde, sunucu tarafında bir çerez ayarladığımda ve etki alanını açıkça localhost (veya .localhost) olarak belirlediğimde. çerez bazı tarayıcılar tarafından kabul edilmiyor gibi görünüyor.

Firefox 3.5: Firebug'daki HTTP isteğini kontrol ettim. Ne görüyorum:

Set-Cookie:
    name=value;
    domain=localhost;
    expires=Thu, 16-Jul-2009 21:25:05 GMT;
    path=/

veya (etki alanını .localhost olarak ayarladığımda):

Set-Cookie:
    name=value;
    domain=.localhost;
    expires=Thu, 16-Jul-2009 21:25:05 GMT;
    path=/

Her iki durumda da, çerez saklanmaz.

IE8: Herhangi bir ekstra araç kullanmadım, ancak sonraki isteklerde geri gönderilmediği için çerez de saklanmış gibi görünmüyor.

Opera 9.64: Hem localhost hem de .localhost çalışır , ancak Tercihler'deki çerezlerin listesini kontrol ettiğimde, domain (localhost.local) olarak localhost (liste gruplamasında) olarak listelenmiş olsa bile ayarlanır.

Safari 4: Hem localhost hem de .localhost çalışır , ancak Tercihler'de her zaman .localhost olarak listelenir. Öte yandan, açık bir etki alanı olmayan bir çerez, yalnızca localhost (nokta yok) olarak gösterilir.

Localhost ile ilgili sorun nedir? Bu kadar tutarsızlıklar nedeniyle, yerel ana bilgisayarı içeren bazı özel kurallar olmalıdır. Ayrıca, alan adlarının neden bir noktadan önce gelmesi gerektiği tam olarak açık değil mi? RFC 2109 açıkça şunu belirtmektedir:

Domain özniteliğinin değeri katıştırılmış nokta içermiyor veya bir nokta ile başlamıyor.

Neden? Belge, güvenlikle ilgili bir şey yapması gerektiğini gösterir. İtiraf etmeliyim ki tüm özellikleri okumadım (daha sonra yapabilir), ama biraz garip geliyor. Buna dayanarak, localhost üzerinde çerezleri ayarlamak imkansız olurdu.

Tasarım gereği, alan adlarında en az iki nokta bulunmalıdır; aksi takdirde tarayıcı bunları geçersiz kabul eder. ( Http://curl.haxx.se/rfc/cookie_spec.html adresindeki referansa bakın )

Üzerinde çalışırken localhostçerez alan adı tamamen atlanmalıdır. Sadece ayarlayarak ""ya NULLya FALSEyerine "localhost"yeterli değildir.

PHP için http://php.net/manual/en/function.setcookie.php#73107 adresindeki yorumlara bakın .

Java Servlet API'siyle çalışıyorsanız, cookie.setDomain("...")yöntemi hiç aramayın .

@Ralph Buchfelder ile genel olarak katılıyorum, ancak yerel makinemdeki (örneğin.com, fr.example.com, de.example.com gibi) bir sistemi çoğaltmaya çalışırken deney yaparak bunun bir miktar yükseltilmesi. OS X / Apache / Chrome | Firefox).

/ Etc / hosts komutlarını 127.0.0.1'de bazı hayali alt alanları işaret edecek şekilde düzenledim:

127.0.0.1 localexample.com
127.0.0.1 fr.localexample.com
127.0.0.1 de.localexample.com

Eğer fr.localexample.com üzerinde çalışıyorsam ve domain parametresini dışarıda bırakıyorsam, çerez fr.localexample.com için doğru şekilde saklanır, ancak diğer alt alanlarda görünmez.

Ben ".localexample.com" bir alan kullanıyorsanız, çerez fr.localexample.com için doğru depolanır ve bir diğer alt alan adları görünür.

"Localexample.com" alan adını kullanıyorsanız veya yalnızca "localexample" veya "localhost" alan adını denediğimde, çerez depolanmıyordu.

"Fr.localexample.com" veya ".fr.localexample.com" alan adını kullanırsam, çerez fr.localexample.com için doğru şekilde saklanır ve diğer alt alanlarda (doğru) görünmez olur.

Bu yüzden, neden olması gerektiğini göremesem de, etki alanında en az iki noktaya ihtiyacınız olması gerektiği gibi görünüyor.

Birisi bunu denemek istiyorsa, bazı yararlı kodlar:

<html>
<head>
<title>
Testing cookies
</title>
</head>
<body>
<?php
header('HTTP/1.0 200');
$domain = 'fr.localexample.com';    // Change this to the domain you want to test.
if (!empty($_GET['v'])) {
    $val = $_GET['v'];
    print "Setting cookie to $val<br/>";
    setcookie("mycookie", $val, time() + 48 * 3600, '/', $domain);
}
print "<pre>";
print "Cookie:<br/>";
var_dump($_COOKIE);
print "Server:<br/>";
var_dump($_SERVER);
print "</pre>";
?>
</body>
</html>

localhost: Kullanabilirsiniz: domain: ".app.localhost"ve işe yarayacaktır. 'Alan' parametresi 1 veya daha fazla nokta ihtiyacı çerezleri ayarlamak için alan adı olarak. Sonra gibi localhost alt alanda çalışan oturumu olabilir: api.app.localhost:3000.

Bir çerez 'localhost' özel alanıyla aşağıdaki gibi ayarlandığında ...

Set-Cookie: isim = değer; domain = localhost ; son kullanma tarihi = Per, 16-Temmuz-2009 21:25:05 GMT; yol = /

... daha sonra tarayıcılar en az iki nokta içermediğinden ve özel olarak ele alınan yedi üst düzey alandan biri olmadığından bunu yok sayar .

... ".com", ".edu" ve "va.us" alanlarını önlemek için alan adlarında en az iki (2) veya üç (3) nokta bulunmalıdır. Aşağıda listelenen yedi özel üst düzey alandan birinde başarısız olan herhangi bir alan için yalnızca iki dönem gerekir. Diğer tüm alan adları için en az üç alan gerekir. Yedi özel üst düzey alan şunlardır: "COM", "EDU", "NET", "ORG", "GOV", "MIL" ve "INT".

Yukarıdaki dönem sayısının büyük olasılıkla öncü bir dönem gerektiğini varsaydığını unutmayın. Ancak bu dönem modern tarayıcılarda göz ardı edilir ve muhtemelen ...

en az bir (1) veya iki (2) periyot

Etki alanı özniteliği için varsayılan değerin , çerez yanıtını oluşturan sunucunun ana bilgisayar adı olduğunu unutmayın .

Bu nedenle , localhost için ayarlanmayan çerezler için bir geçici çözüm yalnızca bir alan adı niteliği belirtmemek ve tarayıcının varsayılan değeri kullanmasına izin vermektir; bu, alan adı özelliğinde açık bir değerin yaptığıyla aynı kısıtlamalara sahip görünmemektedir.

Sonuçlar tarayıcıya göre değişti.

Chrome- 127.0.0.1 çalıştı ancak localhost .localhost ve "" işe yaramadı. Firefox- .localhost çalıştı ancak localhost, 127.0.0.1 ve "" işe yaramadı.

Opera, IE veya Safari'de test etmediniz

Bu sorunu kendim gidermek için çok zaman harcadım.

PHP kullanmak ve Bu sayfadaki hiçbir şey benim için işe yaramadı. Sonunda benim kodunda PHP 'session_set_cookie_params () ' güvenli 'parametre her zaman TRUE olarak ayarlandığını fark etti.

Https ile localhost'u ziyaret etmediğim için tarayıcım hiçbir zaman çerezi kabul etmiyordu. Bu yüzden, kodumun bu kısmını, $ local_mERVER ['HTTP_HOST'] 'localhost' olup olmamasına göre 'secure' parametresini koşullu olarak ayarlayacak şekilde değiştirdim. Şimdi iyi çalışıyor.

Umarım bu birine yardımcı olur.

Başka bir etki alanından bir çerez ayarlıyorsanız (yani, bir XHR çapraz kaynak isteği yaparak çerezi ayarlarsanız), withCredentialstanımlama bilgisini burada açıklandığı gibi getirmek için kullandığınız XMLHttpRequest'ta niteliği true olarak ayarladığınızdan emin olmanız gerekir.

kullanabilir localhost.orgveya daha doğrusu .localhost.orgher zaman127.0.0.1

Etki alanı olarak 127.0.0.1 kullanarak yerel olarak çok daha iyi şanslar test ettim. Neden olduğundan emin değilim, ancak localhost ve .localhost vb.İle karışık sonuçlar elde ettim.

Önerilen düzeltmelerden hiçbiri işe yaramadı - boş, yanlış, iki nokta ekleyerek vb. - işe yaramadı.

Sonunda, yerel ana bilgisayarsa ve şimdi benim için Chrome 38'de çalışıyorsa, alan adını çerezden kaldırdım .

Önceki kod (işe yaramadı):

document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';domain=.' + document.domain + ';path=/;';

Yeni kod (şimdi çalışıyor):

 if(document.domain === 'localhost') {
        document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';path=/;' ;
    } else {
        document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';domain=.' + document.domain + ';path=/;';
    }

Ben de aynı sorunu vardı ve ben herhangi bir alan belirtmeden çerez adı 2 nokta koyarak düzelttim.

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly

Kullandığınızda https://<local-domain>ve sonra bir sorun var gibi görünüyor http://<local-domain>. http://Site sonra istekleri ile çerezleri göndermez https://sitesi setleri onları. Yeniden yüklemeyi zorla ve önbelleği temizle yardımcı olmaz. Yalnızca çerezlerin manuel olarak temizlenmesi işe yarar. Ayrıca, bunları https://sayfada temizlersem, sayfa http://tekrar çalışmaya başlar.

"Sıkı güvenli çerezler" ile ilişkili görünüyor. Burada iyi bir açıklama . Bu edilmiş Chrome 58 yayınlandı 2017-04-19 tarihinde.

Görünüşe göre Chrome, adres çubuğu simgesini tıklarken sayfanın protokolüne bağlı olarak doğru çerezleri göstereceğinden hem güvenli çerezleri hem de güvenli olmayan çerezleri kaydetmektedir.

Ancak Developer tools > Application > Cookies, aynı alan adı için aynı adda güvenli bir çerez olduğunda güvenli olmayan bir çerez göstermez veya güvenli olmayan çerezleri herhangi bir istekle göndermez. Bu bir Chrome hatası gibi görünüyor veya bu davranış bekleniyorsa, bir sayfadayken güvenli çerezleri görüntülemenin bir yolu olmalı httpve bunların geçersiz kılındığına dair bir işaret olmalıdır.

Çözüm, bir http sitesi veya https sitesi için olup olmadığına bağlı olarak farklı adlandırılmış çerezler kullanmak ve bunları uygulamanıza özel olarak adlandırmaktır. Bir __Secure-önek, çerezin kesinlikle güvenli olması gerektiğini ve ayrıca güvenli ve güvenli olmayanların çarpışmayacağı için iyi bir uygulama olduğunu gösterir. Ön eklerin başka yararları da vardır.

/etc/hostsHttps ve http erişimi için farklı alan adları kullanmak da işe yarayacaktır, ancak yanlışlıkla yapılan bir https://localhostziyaret aynı adlardaki çerezlerin http://localhostsitelerde çalışmasını engelleyecektir - bu nedenle bu iyi bir çözüm değildir.

Bir Chrome hata raporu gönderdim .

document.cookie = değer adı + "=" + değer + ";" + süresi + "; etki alanı =; yol = /";

bu "domain =; yol = /"; çerezi alt alanda çalışacağı için dinamik alan adı alacaktır. localhost'ta test etmek istiyorsanız işe yarayacak

Buradaki cevapların hiçbiri benim için işe yaramadı. PHP'yi sayfadaki ilk şey olarak koyarak düzelttim.

Diğer başlıklar gibi, komut dosyasından herhangi bir çıktıdan önce çerezler gönderilmelidir (bu bir protokol kısıtlamasıdır). Bu, herhangi bir çıktıdan önce ve etiketler dahil olmak üzere herhangi bir boşluktan önce bu işleve çağrı yapmanızı gerektirir.

Gönderen http://php.net/manual/en/function.setcookie.php

Chromium'da 2011'den bu yana açık bir sorun var; alan adını açıkça 'localhost' olarak ayarlıyorsanız, falseveya olarak ayarlamanız gerekir undefined.

Biraz oynuyordum.

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=localhost; Path=/

bugünden itibaren Firefox ve Chrome'da çalışıyor. Ancak, curl ile çalışmasını sağlamak için bir yol bulamadım. Host-Header ve --resolve, hayır şans, herhangi bir yardım takdir çalıştı.

Ancak, eğer kıvrılırsa çalışır, eğer

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=127.0.0.1; Path=/

yerine. (Hangi Firefox ile çalışmaz.)

Başka bir önemli ayrıntı, son kullanma tarihi = şu tarih saat biçimini kullanmalıdır: Wdy, GG-Pz-YYYY SS: AA: SS GMT ( RFC6265 - Bölüm 4.1.1 ).

Set-Cookie:
  name=value;
  domain=localhost;
  expires=Thu, 16-07-2019 21:25:05 GMT;
  path=/

Çok denemeler yaptıktan ve çeşitli yazıları okuduktan sonra bu işe yaradı. Birden fazla çerez ayarlayabilir, geri okuyabilir, zaman negatifini ayarlayabilir ve silebilirim.

func addCookie(w http.ResponseWriter, name string, value string) {
    expire := time.Now().AddDate(0, 0, 1)
    cookie := http.Cookie{
       Name:    name,
       Value:   value,
       Expires: expire,
       Domain:  ".localhost",
       Path:    "/",
    }
    http.SetCookie(w, &cookie)
}

Benim için işe yarayan tek şey Path=/çerez üzerine koymaktı.

Ayrıca, yalnızca iki tanesini (Firefox ve Chrome) test etsem de, bir yol özelliğinin varsayılan değeri tarayıcılardan tarayıcılara farklı görünüyor.

Chrome bir çerezi olduğu gibi ayarlamaya çalışır; eğer pathniteliği de atlanırsa Set-Cookiebaşlığında sonra saklanabilir ve göz ardı edilmeyecektir.

Ancak Firefox, açık bir pathniteliği olmasa bile bir çerezi saklar . Sadece istenen yolla ayarladı; isteğimin URL'si buydu /api/v1/usersve yol /api/v1otomatik olarak ayarlandı .

Her neyse, her iki tarayıcı da açık bir alan, yani falan olmasa bile pathayarlandığında çalıştı . Bu nedenle, her tarayıcının çerezleri işleme biçiminde bazı farklılıklar vardır./Domain=localhost