开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Heroku:无法在子域之间共享httpOnly cookies

基础概念

HTTPOnly Cookies 是一种安全特性，用于防止跨站脚本攻击（XSS）。当一个 cookie 被设置为 HTTPOnly 时，它只能通过 HTTP(S) 请求访问，而不能通过 JavaScript 访问。这有助于保护敏感数据，防止恶意脚本窃取。

相关优势

安全性：防止 XSS 攻击，保护敏感数据。
隐私性：限制对 cookie 的访问，减少数据泄露风险。

类型

HTTPOnly Cookies 可以分为两类：

会话 Cookie：在浏览器关闭后失效。
持久 Cookie：在浏览器关闭后仍然有效，直到过期时间到达。

应用场景

HTTPOnly Cookies 常用于存储会话标识符、用户认证令牌等敏感信息。

问题原因

在 Heroku 上无法在子域之间共享 HTTPOnly Cookies 的原因通常是由于以下原因之一：

SameSite 属性：Cookie 的 SameSite 属性可能会影响跨子域共享。默认情况下，SameSite 属性为 Strict 或 Lax，这会限制 Cookie 在跨站请求中的发送。
域名设置：Cookie 的域名设置不正确，导致无法在子域之间共享。

解决方法

1. 设置 SameSite 属性

将 SameSite 属性设置为 None，并确保 Cookie 使用 HTTPS：

Set-Cookie: sessionId=abc123; Path=/; Domain=example.com; HttpOnly; Secure; SameSite=None

2. 确保域名设置正确

确保 Cookie 的域名设置正确，以便在子域之间共享。例如，如果你想在 sub1.example.com 和 sub2.example.com 之间共享 Cookie，可以将域名设置为 example.com：

Set-Cookie: sessionId=abc123; Path=/; Domain=example.com; HttpOnly; Secure; SameSite=None

3. 使用反向代理

如果你使用的是 Heroku，可以考虑使用反向代理（如 Nginx）来处理跨子域的 Cookie 共享。以下是一个简单的 Nginx 配置示例：

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass http://your-app;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 设置跨子域 Cookie
        add_header Set-Cookie "sessionId=abc123; Path=/; Domain=example.com; HttpOnly; Secure; SameSite=None";
    }
}

参考链接

通过以上方法，你应该能够在 Heroku 上实现子域之间的 HTTPOnly Cookies 共享。

相关搜索:在flutter webviews之间共享cookies 如何在子域之间共享cookie？无法跨域和子域共享会话如何在子域之间共享会话变量如何在子域之间共享快速会话？在WebApi中跨子域读取cookies 在具有不同子域的多个web客户端之间分离cookies JavaScript cookies在子域上不起作用在WKWebViews之间共享/重新加载localStorage、IndexedDB、cookies Expressjs:无法在邮递员中设置httpOnly cookies。响应cookies不在邮递员cookies选项卡中请求在包含子域的cookieJar中设置cookies Node.js express无法在Heroku上设置cookies 在ASP.NET核心中的子域之间共享身份验证cookie -无法登录在子站点之间共享Sharepoint列表在主域中的SPA (子域)和API之间共享用户会话查找在子记录之间共享的值在Python子进程之间共享变量在多个顶级命令之间共享子命令在2个.NET核心应用程序DataProtectionProvider之间共享cookies 设置CurrentContact Cookie域以在Kentico站点之间共享

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Cookie深度解析

00

实用，完整的HTTP cookie指南

cookie 是后端可以存储在用户浏览器中的小块数据。 Cookie 最常见用例包括用户跟踪，个性化以及身份验证。

04

HTTP cookie 完整指南

cookie 是后端可以存储在用户浏览器中的小块数据。 Cookie 最常见用例包括用户跟踪，个性化以及身份验证。

02

【网络知识补习】❄️| 由浅入深了解HTTP（四） HTTP之cookies

RFC 6265定义了 cookie 的工作方式。在处理 HTTP 请求时，服务器可以在 HTTP 响应头中通过HTTP Headers Set-Cookie 为客户端设置 cookie。然后，对于同一服务器发起的每一个请求，客户端都会在 HTTP 请求头中以字段 Cookie 的形式将 cookie 的值发送过去。也可以将 cookie 设置为在特定日期过期，或限制为特定的域和路径。

02

Session、Cookie、Token三者关系理清了吊打面试官

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

02

Hostonly cookie是什么鬼？

cookie属性之间用;连接；多个cookie设置，产生多次Set-Cookieheader

02

看完这篇 Session、Cookie、Token，和面试官扯皮就没问题了

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

02

【Web技术】245-全面了解Cookie

浏览器和服务器之间的通信少不了HTTP协议，但是因为HTTP协议是无状态的，所以服务器并不知道上一次浏览器做了什么样的操作，这样严重阻碍了交互式Web应用程序的实现。

01

【Web技术】238-全面了解Cookie

浏览器和服务器之间的通信少不了HTTP协议，但是因为HTTP协议是无状态的，所以服务器并不知道上一次浏览器做了什么样的操作，这样严重阻碍了交互式Web应用程序的实现。

02

Subdomain-Takeover子域名接管原理和利用案例

注意：本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。

02

Subdomain-Takeover子域名接管原理和利用案例

注意：本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。

01

【Java 进阶篇】Java Cookie共享：让数据穿越不同应用的时空隧道

在Web开发中，Cookie是一种常见的会话管理技术，用于存储和传递用户相关的信息。通常，每个Web应用都会在用户的浏览器中设置自己的Cookie，以便在用户与应用之间保持状态。然而，有时我们需要在不同的应用之间共享Cookie数据，让数据像穿越时空的时光旅行一样在不同的Web应用之间传递。本篇博客将深入探讨如何实现Java Cookie的共享，解锁跨应用数据传递的奥秘。

02

一文看懂Cookie奥秘

Cookie是什么？cookies是你访问网站时创建的数据片段文件，通过保存浏览信息，它们使你的在线体验更加轻松。使用cookies，可以使你保持在线登录状态，记录你的站点偏好，并为你提供本地化支持。

05

Session、Cookie、Token 【浅谈三者之间的那点事】

HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

HTTP系列之:HTTP中的cookies

如果小伙伴最近有访问国外的一些标准网站的话，可能经常会弹出一个对话框，说是本网站为了更好的体验和跟踪，需要访问你的cookies，问你同意不同意，对于这种比较文明的做法，我一般是点同意的。

02

HTTP系列之:HTTP中的cookies

如果小伙伴最近有访问国外的一些标准网站的话，可能经常会弹出一个对话框，说是本网站为了更好的体验和跟踪，需要访问你的cookies，问你同意不同意，对于这种比较文明的做法，我一般是点同意的。

00

小饼干Cookie的大魅力

早期互联网只是用于简单的页面浏览，并没有交互，服务器也无法知道不同的请求是否来自同一个浏览器，不知道某用户上一次做了什么。每次请求都是相互完全独立的，这也是 HTTP 协议无状态特征的表现。这种缺陷显然无法满足交互式 Web 发展的需求，Cookie 作为一种解决这一问题的方案，被当时最强大的网景浏览器公司提出。

04

很全很全的前端本地存储方式讲解

程序员宝库关注即可习得新技能! cookie前言网络早期最大的问题之一是如何管理状态。简而言之，服务器无法知道两个请求是否来自同一个浏览器。当时最简单的方法是在请求时，在页面中插入一些参数，并在下一个请求中传回参数。这需要使用包含参数的隐藏的表单，或者作为URL参数的一部分传递。这两个解决方案都手动操作，容易出错。cookie出现来解决这个问题。作用 cookie是纯文本，没有可执行代码。存储数据，当用户访问了某个网站（网页）的时候，我们就可以通过cookie来向访问者电脑上存储数据，或者某些网站为了辨

05

.net core实践系列之SSO-跨域实现

接着上篇的《.net core实践系列之SSO-同域实现》，这次来聊聊SSO跨域的实现方式。这次虽说是.net core实践，但是核心点使用jquery居多。

03

Web Security 之 CORS

在本节中，我们将解释什么是跨域资源共享（CORS），并描述一些基于 CORS 的常见攻击示例，以及讨论如何防御这些攻击。

01

很全很全的前端本地存储讲解

cookie 前言网络早期最大的问题之一是如何管理状态。简而言之，服务器无法知道两个请求是否来自同一个浏览器。当时最简单的方法是在请求时，在页面中插入一些参数，并在下一个请求中传回参数。这需要使用包含参数的隐藏的表单，或者作为URL参数的一部分传递。这两个解决方案都手动操作，容易出错。cookie出现来解决这个问题。作用 cookie是纯文本，没有可执行代码。存储数据，当用户访问了某个网站（网页）的时候，我们就可以通过cookie来向访问者电脑上存储数据，或者某些网站为了辨别用户身份、进行sessio

07

【Django】基于PythonWeb的Django框架设计实现天天生鲜系统-6Django中Cookie存取

Cookie 指某些网站为了辨别用户身份、在用户本地终端上存储的数据(通常经过加密).

02

.net core实践系列之SSO-同域实现

SSO的系列还是以.Net Core作为实践例子与大家分享，SSO在Web方面复杂度分同域与跨域。本篇先分享同域的设计与实现，跨域将在下篇与大家分享。

02

node+express操作cookie「建议收藏」

Cookie：有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。

02

【Java 进阶篇】Cookie 使用详解

欢迎阅读本篇博客，我们将深入研究 Java 中的 Cookie，从入门到精通，包括 Cookie 的基本概念、原理、使用方法以及一些高级技巧。无论你是新手还是有经验的开发者，希望这篇博客对你有所帮助。

04

cookie是什么？

Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能, 而这一切都不必使用复杂的CGI等程序 [2] 。举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存) [2] 。

02

nodejs中cookie设置与获取

HTTP是无状态协议。简单地说，当你浏览了一个页面，然后转到同一个网站的另一个页面，服务器无法认识到，这是同一个浏览器在访问同一个网站。每一次的访问，都是没有任何关系的。

02

JavaScript进阶 - 浏览器存储：localStorage, sessionStorage, cookies

在Web开发中，客户端存储技术对于保存用户偏好设置、缓存数据和跟踪用户活动至关重要。本篇博客将深入探讨三种主要的浏览器存储方式：localStorage, sessionStorage, 和 cookies，并讨论它们的常见问题、易错点以及如何避免这些问题。

02

前端须知的 Cookie 知识小结

cookie 是服务器端保存在浏览器的一小段文本信息，浏览器每次向服务器端发出请求，都会附带上这段信息（不是所有都带上，具体的下文会介绍）

01

HTTP cookies

HTTP Cookie（也叫Web Cookie或浏览器Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

04

Http知道这些，开发Android才算合格！

说起HTTP大家再熟悉不过了，无论是大学的课本上还是平时的工作中，几乎每天都要和HTTP打交道。但是，就是这么熟悉的老朋友，你真的是非常了解吗？你能轻而易举就回答出我下面的几个问题吗？

02

会话跟踪技术之Cookie

Cookie介绍背景 HTTP协议是无状态协议，无状态是指每次request请求之前是相互独立的，当前请求并不会记录它的上一次请求信息问题：既然无状态，那完成一套完整的业务逻辑，需要发送多次请求，那么怎么标识这些请求都是同一个浏览器操作呢？解决方案当浏览器发送request请求到服务器，服务器除了返回请求的response之外，还给请求分配一个唯一标识ID和response一并返回给浏览器服务器在本地创建一个map结构，专门以key-value存储这个ID标识和浏览器的关系当浏览器第一次请求后已

01

关于 Cookie，了解这些就足够了

Cookie 是用户浏览器保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

02

有关Web 安全学习的片段记录（不定时更新）

00

cookies

0812自我总结 cookies 一.cookies的概述 cookie的概念：相当于小纸条作用:验证登录信息的相关参数: key:cookie的key值 value：cookie的value值 max_age: 超时时间就是在浏览器缓存中保留多少时间单位是s 例子：10s expires：作用于max_age类似如果值输入一个数字代表几天,如果输入具体时间格式为2019-9-12代表这天失效 path /代表全部生效 ,/aa/表示只在aa所在的域生效 domain: 域名表示cookie只在某个

05

详解浏览器存储

随着移动网络的发展与演化，我们手机上现在除了有原生 App，还能跑“WebApp”——它即开即用，用完即走。一个优秀的 WebApp 甚至可以拥有和原生 App 媲美的功能和体验。WebApp 优异的性能表现，有一部分原因要归功于浏览器存储技术的提升。cookie存储数据的功能已经很难满足开发所需，逐渐被Web Storage、IndexedDB所取代，本文将介绍这几种存储方式的差异和优缺点。

01

ASP.NET中Cookie跨域的问题及解决代码

http://www.liyumei.net.cn/post/share18.html

01

一篇解释清楚Cookie是什么？

HTTP Cookie（也叫 Web Cookie 或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。使用场景：

01

Web Hacking 101 中文版十三、子域劫持

子域控制就真的是听上去那样，它是一种场景，恶意用户能够代表合法站点来申请一个子域。总之，这一类型的漏洞涉及站点为子域创建 DNS 记录，例如，Heroku（主机商），并且从未申请过该子域。

04

aiohttp 异步http请求-11.ClientResponse 获取响应headers 和cookies

前言 ClientResponse 获取接口返回的headers 和cookies 响应 headers 可以使用 ClientResponse.headers 查看服务器的响应 assert resp.headers == { 'ACCESS-CONTROL-ALLOW-ORIGIN': '*', 'CONTENT-TYPE': 'application/json', 'DATE': 'Tue, 15 Jul 2014 16:49:51 GMT', 'SERVER': 'g

03

知乎某处XSS+刷粉超详细漏洞技术分析

我觉得十分经典的一个漏洞，和大家分享一下~ 好久没法前端漏洞分析了，这次来一个。老问题导致的XSS漏洞首先看一个XSS漏洞，这个点是老问题了， http://www.wooyun.org/bugs

01

Koa Cookie 的设置与获取

刷新 http://localhost:3000/json 自动获取 Cookie：

01

Cookie详解整理

1.Cookie的诞生由于HTTP协议是无状态的，而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息，以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265，它是一个由浏览器服务器共同协作实现的规范。 2.Cookie的处理分为： 1.服务器像客户端发送cookie 2.浏览器将cookie保存 3之后每次http请求浏览器都会将cookie发送给服务器端，服务器端的发送与解析 3.发送cookie 服务器端像客户端发送Cookie

04

再战子域共享Cookie问题

昨天贾宁旨光临寒舍，吃过晚饭回来后就跟他聊天，后来又玩了一会儿《Black Hawk Down》对战，到了大概晚上11点多，开始继续尝试用 Response.Cookies.Domain 来解决子域共享 Cookie 的问题。根据网上的资料，包括 MSDN 的文章都说设置 Response.Cookies("domain").Domain = "Microsoft.com" 这样的形式以后，可以实现该Cookie对整个“Microsoft.com”域下的所有服务器都可以共享。我在本机测试的时候，也的确实现

05

前端网络安全

1、类型 1）反射型：通过网络请求参数中加入恶意脚本，解析后执行触发。 2）文档型：请求传输数据中截取网络数据包，对html代码插入再返回。 3）存储型：通过输入发送到服务端存储到数据库。 2、防范措施 1）对用户输入进行过滤或转码。 2）csp(内容安全策略)。使CSP可用, 你需要配置你的网络服务器返回 HTTP头部

03

CORS跨域漏洞的学习

最近斗哥在学习CORS的漏洞和相关的一些知识梳理，网站如果存在这个漏洞就会有用户敏感数据被窃取的风险。

05

007：Django Cookie Session

1、Cookie和session的认识 Cookie(曲奇)：用户识别。西游记：李世民通关文牒唐僧通关文牒女儿国通关文牒比丘国 http请求实际是无状态用户向服务器发起请求，服务器下发cookie到本地，下次请求，用户携带cookie进行请求， Cookie解决用户身份问题但是cookie不安全

02

[译]构建现代Web应用的安全指南

原文：Security for building modern web apps 译者：杰微刊—张迪这篇文章的灵感来自于另一篇文章，它是关于“在今天，构建Web应用之前要知道的事情”的。并不长，但遗漏了一些关于安全性的建议，所以我就此动笔，分享一些这方面的知识。本文重点是写给那些来自初创公司，并且想要从头开始开发一个Web应用的开发者，他们并不知道太多信息安全的知识，也不想花太多时间考虑其应用程序的安全性。一些重要的内容就不在这里讨论了，诸如威胁建模（threat modeling），持续交付安全（co

08

aiohttp 异步http请求-10.ClientSession自定义请求Cookie

前言要将自己的 cookie 发送到服务器，可以使用构造函数的cookies 参数ClientSession 自定义cookie cookie 定义成字典键值对格式，传参到ClientSession url = 'http://httpbin.org/cookies' cookies = {'cookies_are': 'working'} async with ClientSession(cookies=cookies) as session: async with session.get(ur

03

Web 认证机制相关概念解析

在 Web 开发中，我们经常会遇到各种各样的认证机制的概念和名词，如 Cookies、Session、Token、SSO（Single Sign-On）和 OAuth 2.0 等，下面详细解释一下它们之间的联系与异同

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭