相同域名下的cookie污染

Posted zhouyun-yx

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了相同域名下的cookie污染相关的知识,希望对你有一定的参考价值。

  • 问题描述

   本地用同一个tomcat调试两个相同框架的不同项目,在同一个浏览器界面里切换时,A项目的登录会把B项目的登录给踢掉,翻反过来亦如此。通过查看浏览器cookie,发现两个项目的cookie完全一模一样,只是值不同而已。

  • 原因解析
      通过查询资料大致可以了解到,如果是首次登录,服务器会创建sessionId返回给浏览器,浏览器会将sessionId保存为JSessionId,下次发起访问的时候会把sessionId带上,服务器通过判断是否存在sessionId,如果不存在则跳转登录页,存在则进行业务操作。所以A项目登录之后B项目接着去登陆,服务器返回给B项目一个新的sessionId,浏览器获取到之后会覆盖掉A项目的,等到A发起下次请求的时候,把覆盖掉的sessionId发送给服务器,服务器检测不到该sessionId,会以为sessionId已经过期,所以重定向到登录页。
  • 解决方法
    方法一
      设置不同域名,可以设置两个项目的域名不同,也就是区分到不同服务器上。
      如:http://projectA.com:7777/
        http://projectB.com:8080/
    方法二
      设置不同的应用名称,不是通过根路径的方式访问(未验证过)
      如:http://ip1:7777/projectA
        http://ip1:8080/projectB
    方法三
      设置cookie的别名

      1、通过在contex中设置:

    <Context sessionCookieName="jss" >

      2、或者通过java虚拟机参数

    -Dorg.apache.catalina.SESSION_COOKIE_NAME=jss

      3、或者动过设置:

    System.setProperty("org.apache.catalina.SESSION_COOKIE_NAME", "jss");

     

     

     

以上是关于相同域名下的cookie污染的主要内容,如果未能解决你的问题,请参考以下文章

js cookie跨域

同一域名下的两个laravel项目

同域名下两个子级域名共享cookie

怎么获取Cookie

c# 如何获取当前 页面 所有cookie 包括其他域名?

转:扫盲 DNS 原理,以及“域名劫持”和“域名欺骗/域名污染”