2. 程式人生 > >Cookie的優先順序,你可能誤解的

Cookie的優先順序,你可能誤解的

阿新 發佈:2019-02-03

關鍵字:Cookie,優先順序(Precedence, Priority)

問題

Server端分別在不同的域(domain)或者不同的路徑(Path)添加了名字相同的Cookie,比如:

Cookie名 域名 Path
tokenId mydomain.com / root domain token
tokenId sub1.mydomain.com / sub1 domain token
tokenId sub2.mydomain.com / sub2 domain token
tokenId sub1.mydomain.com /us/index.action sub1 domain /us/index.do token
現在向sub1.mydomain.com/us/index.action傳送請求,request傳送到伺服器的cookie裡tokenId會是什麼呢?

答案

多個值一起帶去,tokenId=root domain token;tokenId=sub1.mydomain.com;tokenId=sub2 domain token;tokenId=sub1 domain /us/index.do token;

吃驚吧!我本以為同名Cookie會根據domain和path有優先順序的。做了個相同domain不同path下同名Cookie的實驗,發現在Header裡面同名Cookie的兩個值都帶去了,也有人做root域和sub域的實驗,也是這種情況(

詳述)。我沒有查到RFC或者其它官方文件裡給出的詳述,但有資料說所有值都會帶去,並且順序是不固定的

標準答案

4.2.2 

   In particular,if the Cookie header contains two cookies with the same name (e.g.,
   that were set with different Path or Domain attributes), servers
   SHOULD NOT rely upon the order in which these cookies appear in the
   header.

5.3.  Storage Model

  2.  The user agent SHOULD sort the cookie-list in the following
       order:

       *  Cookies with longer paths are listed before cookies with
          shorter paths.

       *  Among cookies that have equal-length path fields, cookies with
          earlier creation-times are listed before cookies with later
          creation-times.

       NOTE: Not all user agents sort the cookie-list in this order, but
       this order reflects common practice when this document was
       written, and, historically, there have been servers that
       (erroneously) depended on this order.
大概就是:RFC推薦在request header中瀏覽器能夠按path的長短排序,越長說明匹配的越精確,順序越靠前。同時也說明並不是所有的瀏覽器都遵守這個,並且伺服器也不應該依賴於cookie出現的順序。

源自於對一個解決方案的思考

我對Cookie的興趣來自sessionid cookie,因為它用來維持request和伺服器端session的匹配。有一個場景,如下圖所示:


Web應用由Apache後面的兩個子應用支撐。瀏覽器傳送請求給Apache後:

  • Apache會根據URL反向代理(reverse proxy)到Server1或者Server2;
  • Server 1和Server 2都會為請求建立session,就產生名為sessionid的session cookie;
  • Server 2也可能作為伺服器端代理,需要能夠從request中該瀏覽器對server 1的session id,從而代替使用者從server 1獲取一些資訊。

我原本的思路是:

將Server 1的sessionid cookie的path設定成根路徑(/);將server 2的sessionid cookie的path設定成相對具體的路徑,比如/server2/。假設同名cookie有優先順序,那麼路徑具體的cookie的值就會優先帶回,那麼我就可以同時保持對Server 1和Server 2兩個子應用的session了。在Server 2的session沒建立時,我也可以在Server 2通過request header拿到Server 1的session。

不隨我願啊!

看來現在可行的方式只有:

Server 1的子應用是成熟的產品,不能修改,只能把Server 2做成sessionless的了,以Server 1的sessionid做主鍵,在Server 2把使用者資訊儲存到記憶體資料庫中,以此來維護上下文資訊。

一個擔心:

如果Server 2子應用的開發者一不小心建立了session呢,這時候它產生的sessionid cookie可能干擾Server 1對session id和session的對映啊!!並且恰恰兩個server都是在一個domain下。有什麼方法可以強迫Server 2永遠無法建立session呢?思考中,請大俠教我。。。

解決方案:

多謝Apache Tomcat。我們的應用部署在Apache Tomcat中,Tomcat 5.5之後的版本可以修改預設的sessionid cookie的key值,方式很簡單,在bin/catalina.bat中新增如下引數:

JAVA_OPTS="$JAVA_OPTS 
             -Dorg.apache.catalina.SESSION_COOKIE_NAME=MYJSESSIONID 
             -Dorg.apache.catalina.SESSION_PARAMETER_NAME=myjsessionid"

把兩個session id的key值修改下,就不會相互干擾了!

相關推薦

Cookie優先順序可能誤解

關鍵字:Cookie,優先順序(Precedence, Priority) 問題 Server端分別在不同的域(domain)或者不同的路徑(Path)添加了名字相同的Cookie,比如: Cookie名 域名 Path 值 tokenId mydomain.com / r

12月12日雲棲精選夜讀 | Python 10大謬論可能對Python存在的一些誤解

謬誤 #1: Python 是一門新語言 伴隨著所有的初創公司正在使用它以及孩子們最近也在學習它的事實,這個謬誤為何仍然存在是可以理解的。實際上 Python 已經 超過23歲了, 它最初發佈於1991年, 早於 HTTP  熱點熱議 Python 10大謬論,你可能對Python存在的一些

未來可能不屬於任何公司

交易 成了 data 而是 三分 ron 動向 image 參考 優步自己沒有車,只是用車平臺;阿裏自己沒有貨,只是交易平臺;微博自己不生產內容,只是內容平臺…… 那麽人才呢?是否也沒必要用企業的形式組織起來,而用平臺的方式呢? 實際上,追溯回去的話,“企業”這種組織

張書樂:在發爾康和葛優躺表情包時可能在侵權他卻在賺錢

表情包使用次數TOP10的表情符號裏,“哭笑不得”的表情使用次數最多,總計高達7518440701次;女性青年每人平均每天使用表情2.84次,而男性青年每人平均每天使用表情次數為0.74次,女性是男性的3.83倍。與男性相比,女性的表情使用普遍偏感性。文/張書樂(人民網、人民郵電報專欄作者)新著有《微博運營完

Chrome 開發者控制臺中可能意想不到的功能

uga ole 增加 開啟 ++ 計算 javascrip 變量 想象 Chrome 有內置的開發者工具。它擁有豐富的特性,比如元素(Elements)、網絡(Network)和安全(Security)。今天,我們主要關註一下 JavaScript 控制臺。 當我最

網頁搜索新技能可能想不到的實用腦洞

實用 結果 項目 使用 腦洞 關鍵詞 很好 post 提示 使用百度一些專業知識的時候,在百度結果頁面點擊選擇一個類似於百度文庫的最優選擇,點開卻不知道到如何找起,因為搜索的關鍵詞不會被提示出來。這時就可以使用Ctrl+F,在網頁中查詢想要的關鍵詞,還可以高亮顯示。 p主在

前端演算法題 | 這道題效率最高的演算法可能不知道?

    尋找最長的不含有重複字元的子串 可能看標題不會明白這個題到底什麼意思,來看看下面的例子:   abcabcbb  ➡  abc ➡  3 bbbb  ➡  b  

曉萌最近在做一個翻轉圖片的應用可能也知道圖片其實是由一個個的點組成的。於是曉萌想先做一個可以翻轉矩陣的程式來解決他問題的核心部分。

曉萌最近在做一個翻轉圖片的應用,你可能也知道,圖片其實是由一個個的點組成的。於是,曉萌想先做一個可以翻轉矩陣的程式,來解決他問題的核心部分。 輸入格式 輸入第一行包括由空格分開的整數 M,N,T(0<N,M<200),T 的值為 0 或 1。其中M 和 N 分別表示待

淺談 Java 10 可能不知道的五件事

Java 9出現之後僅僅過去6個月,現在Java 10已經在敲門了。與它的版本號一樣,Java 10提供了10個新特性,本文提供了我認為最重要的5個特性(您可以在Open JDK 10專案頁面上檢視它們)。區域性變數型別推斷是有爭議的熱點,但Java 10在JVM中的垃圾收集和容器識別上帶來

關於“視訊”可能不知道的那些事兒

你覺得一段 1080P ,60 幀的視訊,一秒鐘應該佔多少空間? 視訊的基礎屬性 1080p 和 1080i 的區別 當你聽見 “一個 1900 x 1080 的視訊” 這樣的描述時,你一定能反應出:這指的是視訊的解析度對應寬和高的畫素值。首先我們需要知道,1080p 是 1080 pro

關於Linux的27件小事可能一個都不知道!

許多人認為10月5日是 Linux系統的週年紀念日,因為這是 Linux 在1991年首次對外公佈的時間。不過,你可能不知道的是,早在1991年8月25日,當年還是大學生的 Linus Torvalds 就向 comp.os.minix 新聞組的人透露了由於“業餘愛好”他正在

[Android]使用VLayout可能遇到的問題

概述 VirtualLayout是一個針對RecyclerView的LayoutManager擴充套件, 主要提供一整套佈局方案和佈局間的元件複用的問題。 設計思路 通過定製化的LayoutManager,接管整個RecyclerView的佈局邏輯; LayoutMa

炒幣為什麼一直虧可能犯了這幾個錯誤。

NO.1 關鍵詞:梭哈?、滿倉幹 投資市場從來不缺梭哈的人?,在幣圈更不缺!從我進入幣圈那會我就聽說過一句話“贏了會所嫩模,輸了下海乾活”,“十賭九輸”這個道理你應該懂吧?投資市場也是賭場。如果你繼續這樣下去,勸你還是離開這個市場吧,最起碼能給你留點買饅頭的錢。

程式設計師養生心得:除了保溫杯+枸杞可能還需要它!

程式設計師們一天要面對電腦螢幕10小時以上,一行行密密麻麻的程式碼在眼前轉來轉去,工作時精神高度

聊聊可能誤解的Kubernetes Deployment滾動更新機制

Author: [email protected] 摘要: Kubernetes Deployment滾動更新機制不同於ReplicationController rolling update,Deployment rollout還提供了滾

Oracle安全攻防可能不知道自己一直在裸奔

作者介紹 劉思成,安華金和安全攻防實驗室。 主題簡介: Backdoor(後門)、Rootkit、Vulnerability分別在攻擊中扮演的角色。 攻擊者可能使用的Oracle Rootkit技術種類。 綜述資料庫漏掃工具現階段能識別的Rootkit型別,提出使其識別更多rootkit型別的建議

Python爬取房產資料哪裡跌價買哪裡可能不賺但我永遠不虧

小夥伴,我又來了,這次我們寫的是用python爬蟲爬取烏魯木齊的房產資料並展示在地圖上,地圖工具我用的是 BDP個人版-免費線上資料分析軟體,資料視覺化軟體 ,這個可以匯入csv或者excel資料 學習Python中有不明白推薦加入交流裙        

關於Unity中的資源管理可能遇到這些問題

關鍵字 AssetBundle 資源製作 紋理\網格\材質\Shader\音訊\動畫 Lightmap 一、AssetBundle 相關 Q1:Unity中

使用<a>標籤時可能會忽略的一個安全問題

本文首發於公眾號:符合預期的CoyPan 本文章翻譯於:medium.com/front-end-w… 原標題為:Prevent Sending HTTP Referer Headers from Your Website 在一個新視窗中開啟連結是前端開發中一個很常見的邏輯,它可以將使

共享印表機時出現"無法訪問可能沒有許可權使用網路資源“

現象: 在一臺電腦上面共享印表機之後,在另一臺電腦上面新增網路印表機時,有可能會遇到"無法訪問,你可能沒有許可權使用網路資源“的問題。 解決方法: 請首先檢查計算機所在的域/工作組是否相同,再檢查域/工作組中的"計算機名"是否唯一!!! Windows 8.1 中文版