在Safari中设置跨域cookie
Safari中设置跨域Cookie的全面解析
基础概念
跨域Cookie是指在主域名不同的网站之间共享Cookie数据。由于浏览器的同源策略(Same-Origin Policy)限制,默认情况下Cookie只能在设置它们的域名下访问。
Safari的特殊性
Safari浏览器由于其严格的隐私保护策略(如智能防跟踪功能ITP),对跨域Cookie有更严格的限制:
- Safari默认会阻止第三方Cookie
- ITP(Intelligent Tracking Prevention)会限制Cookie的有效期
- 对跨站请求的Cookie发送有额外验证
设置跨域Cookie的方法
1. 使用SameSite属性
Set-Cookie: key=value; SameSite=None; SecureSameSite=None: 允许跨站请求携带CookieSecure: 必须与SameSite=None一起使用,要求HTTPS连接
2. CORS配置
服务器需要设置正确的CORS头部:
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true客户端请求需要设置:
fetch('https://api.example.com', {
credentials: 'include'
});3. 使用代理服务器
通过同域代理转发跨域请求:
客户端 -> 同域代理服务器 -> 目标API4. 使用postMessage通信
通过window.postMessage在不同域之间传递数据。
常见问题及解决方案
问题1: Cookie在Safari中不持久
原因: ITP限制第三方Cookie有效期(7天后删除)
解决方案:
- 使用第一方Cookie
- 实现服务器端存储
- 使用OAuth等认证流程
问题2: 设置了SameSite=None但Cookie仍不发送
可能原因:
- 未设置Secure标志
- 不是HTTPS连接
- Safari版本较旧(12以下不支持SameSite=None)
解决方案:
Set-Cookie: session=abc123; SameSite=None; Secure; Path=/问题3: 跨域请求无法携带Cookie
解决方案: 确保:
- 服务器设置
Access-Control-Allow-Credentials: true - 客户端设置
credentials: 'include' Access-Control-Allow-Origin不能为*,必须指定具体域名
最佳实践
- 尽可能使用同域架构
- 必须跨域时,确保使用HTTPS
- 考虑使用Token-based认证替代Cookie
- 对于关键功能,提供备用认证方案
- 定期测试不同Safari版本的兼容性
示例代码
服务器端(Node.js)设置跨域Cookie:
const express = require('express');
const app = express();
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', 'https://client-domain.com');
res.header('Access-Control-Allow-Credentials', 'true');
next();
});
app.get('/set-cookie', (req, res) => {
res.cookie('cross-site-cookie', 'value', {
sameSite: 'none',
secure: true,
httpOnly: true
});
res.send('Cookie set');
});
app.listen(3000);客户端获取跨域Cookie:
fetch('https://api-domain.com/set-cookie', {
credentials: 'include'
})
.then(response => response.text())
.then(data => console.log(data));注意事项
- Safari的ITP会随时间更新,需关注最新变化
- 用户可能手动禁用第三方Cookie
- 隐私法规(GDPR等)可能限制跨域跟踪
- 考虑提供无Cookie的备用方案
相关·内容
我遵循了下面的示例:该示例在Firefox中工作,但在Safari中不起作用,有人尝试过实现CORS跨域cookie处理,并在Safari中成功吗?
谢谢。
浏览 1提问于2010-09-28得票数 13
回答已采纳
所以我正在做一个项目,前端是在vercel托管的Next.JS上,后端是托管在heroku上的Express.JS。在前端,我使用axios进行HTTP调用。会话的cookie保存在Chrome上,而Safari上则没有保存。我已经浏览过多个StackOverflow帖子,但都没有工作。Safari在头文件中接收cookie,但它没有保存cookie。
这是我在快车上的cor
浏览 11提问于2022-05-13得票数 0
回答已采纳
该应用程序由两个部分组成,主域和子域,每个子域都有自己的专用服务器(子域服务器可以调用主域服务器,而不是相反的方式)。在应用程序负载上,主域服务器处理设置SID cookie的身份验证。子域在iframe内部的用户交互中打开,以确保打开子域始终贯穿主域身份验证。在子域iframe中,还有针对子
浏览 0提问于2020-10-06得票数 4
3回答
The issue它实现了html5本地存储:
Safari默认不允许第三方cookie(其他浏览器允许)。Safari的隐私偏好如下:默认情况是:“允许我访问网站”。
始终阻止-阻止所有第三方cookie和阻止所有第三方cookie。总是允许-允许所有第三方cookie和所有第三方cookie.解决方
浏览 12提问于2016-07-26得票数 16
回答已采纳
1回答
除了Safari之外,大多数现代浏览器都能很好地工作。它似乎是带有访问令牌cookie的东西。不过,不确定这是否是一个bug。,在加载路由之前,我对userprofile数据执行/me请求。/601.2.7Referer: http://app.****.com/在另一个浏览器(火狐)中,access_token cookie与
浏览 0提问于2016-01-06得票数 1
回答已采纳
1回答
如何设置跨站点cookies?(Please, see screen shot)了解paddle.com如何在niceverynice.com上拥有cookies?这就是我正在努力实现的目标。
浏览 93提问于2020-11-07得票数 0
当用户单击扩展按钮时,它会触发一个popUp,在该代码中,我使用appAPI.request.get()从我的myDomain.com调用一个php页面,该页面读取并设置myDomain.com的cookie这适用于IE、Chrome、Safari和Firefox,除非我的MacBook Safari无法设置cookie。我正在我的iMac上运行与OSX和Safari完全相同的版本,它运行得很好。这可能是跨域
浏览 0提问于2014-05-22得票数 0
回答已采纳
为了允许登录等跨所有子域工作,我在config/initializers/session_store.rb中这样做但是,在本地开发时,这是行不通的。但是,我的浏览器(我尝试过Safari、FireFox和Chrome)没有设置这个cookie
浏览 3提问于2010-11-17得票数 5
回答已采纳
1回答
我面临的问题是,safari不能在我的cookies中保存我的refreshToken。它在Chrome和FF中工作。Safari中启用了Cookies。1.1 200 OKContent-Type: application/json; charset=utf-8Keep-Alive: timeout=5
Access-Control-Allow-Origin: http:/&
浏览 1提问于2022-01-17得票数 0
1回答
我在VueJS上有一个网站,在亚马逊网络服务上有一个后端。假设网站在www.mywebsite.com上,在安装了CPanel的主机服务器上,我的后端在www.mybackend.com下运行 当用户使用网站登录时,它会对后端进行axios/fetch调用。后端将返回www.mywebsite.com域的set-cookie。 虽然Chrome和FF运行良好。Safari不存储cookie,因为它是跨站点cookie
浏览 47提问于2020-07-29得票数 0
1回答
用POST方法设置交叉起源饼干
、、、、
我希望使用POST方法在服务器端设置跨源cookie。但是,使用GET方法设置来自服务器的跨域Cookie很
浏览 8提问于2020-03-10得票数 0
回答已采纳
我们的应用程序使用cookie来记住用户登录。我们进行的每次auth API调用,浏览器都会将服务器设置的HTTPonly cookie附加到API请求中,并进行身份验证。在Mojave发布后,这种行为似乎在safari中被打破了。
我读到了safari实现的跨站点cookie安全性,我们的服务器团队在设置cookie时添加了SameSite=None;Secur
浏览 8提问于2019-10-23得票数 36
然而,当我通读他们的示例时,我对他们在iframe应用程序中使用cookie感到非常困惑。
一个小小的背景故事。我已经尝试过将iframe用于可嵌入的小部件(与Facebook无关),并且我发现了一些浏览器(Chrome、Safari等)。有严格的cookie策略,不允许在iframe中设置跨域cookie(另一方面,Firefox允许iframe在iframe中设置</e
浏览 0提问于2011-01-16得票数 79
回答已采纳
我试图使用PHP域设置cookie,这意味着我的JS托管在其他域中,JS调用PHP页面,试图设置cookie。它在所有浏览器中都能工作,除了移动中的Safari (iPhone 6),奇怪的是我可以访问用户cookie,但不能设置(有时它设置一个空cookie,有0字节)。下面是我在php文件中的代码:
header('Access-Control-Al
浏览 0提问于2016-03-05得票数 2
当我开始使用IAM角色AWSGlueServiceNotebookRoleDefault作业时,出现了以下错误:文档中没有有关此错误的信息。
浏览 24提问于2022-03-31得票数 1
我正在尝试在iframe跨域设置一个cookie,但没有成功。b.com/sample页面为b.com域设置了一个cookie (samesite=none,secure,httponly)。如果我在浏览器窗口中加载原始的b.com页面https://b.com/sample,我将正确地看到cookie集,它可用于其他b.com页面(https://b.co
浏览 0提问于2023-03-13得票数 1
我注意到,当使用safari/ios将物品放在购物车中时,它们就不会出现。手推车曲奇还没准备好。它由重定向页设置。我看到了关于safari没有设置cookie和重定向的问题,但是如果我取出重定向,它仍然没有被设置。以下是代码:<!cookie。此代码正在从我的站点上的不同域运行于iframe中。这个网站是www.shopthethirdfloor.com。如果您转到products,选择一个产品
浏览 3提问于2015-01-13得票数 1
回答已采纳
我们在分析结果上有问题,在父页面和iframe子页面之间没有匹配。我们知道,跟踪不应该是关于坚实的数字,但我们的差异太大,不容忽视。我们的设置如下:最近,我们为合作伙伴实现了一个“嵌套”存储,这里是问题开始的地方。在合作伙伴的父页面上,无法控制脚本或调整任何内容。这个父页面实现了两个iframe子页面。iframe在我们这边的partner.estore.com上运行。
第二个iframe是合作
浏览 2提问于2012-01-17得票数 3
4回答
我有一个有两个域名的网站,显示来自两个域名的相同内容,它也是正确的子域,但问题是当我设置这个网站的cookie是在它的子域网站中使用。
Cookie设置为只有一个域名,而不是两个域名??
浏览 2提问于2012-08-31得票数 0
回答已采纳
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
腾讯云开发者
