开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

cookie子域名

基础概念

Cookie 是一种存储在用户浏览器上的小型数据片段，通常用于存储用户会话信息、偏好设置等。Cookie 可以通过设置 Domain 属性来控制其在哪些子域名之间共享。

子域名是指与主域名（如 example.com）共享相同顶级域名的二级域名（如 blog.example.com 或 shop.example.com）。

优势

会话管理：Cookie 可以用来跟踪用户的会话状态，例如登录状态。
个性化体验：通过 Cookie 存储用户的偏好设置，可以提供个性化的用户体验。
跨子域名共享：通过设置 Domain 属性，可以在不同的子域名之间共享 Cookie，从而实现统一的用户管理。

类型

会话 Cookie：存储在内存中，浏览器关闭后消失。
持久 Cookie：存储在用户的硬盘上，具有过期时间，即使浏览器关闭也会保留。

应用场景

用户登录：通过 Cookie 存储用户的登录状态，实现跨页面和跨子域名的登录。
个性化设置：存储用户的偏好设置，如语言选择、主题等。
购物车：在电子商务网站中，通过 Cookie 存储用户选择的商品信息。

遇到的问题及解决方法

问题：为什么设置了 `Domain` 属性后，Cookie 仍然不能在子域名之间共享？

原因：

安全性设置：现代浏览器默认启用了 SameSite 属性，限制了 Cookie 的跨站请求。
路径设置：Cookie 的 Path 属性限制了 Cookie 在特定路径下的访问。
浏览器设置：用户可能在浏览器中禁用了 Cookie 或设置了隐私保护。

解决方法：

设置 SameSite 属性：将 SameSite 属性设置为 None，并确保 Cookie 是 HTTPS 加密的。
设置 SameSite 属性：将 SameSite 属性设置为 None，并确保 Cookie 是 HTTPS 加密的。
检查 Path 属性：确保 Path 属性设置为根路径 /，以便在所有子域名下共享。
检查 Path 属性：确保 Path 属性设置为根路径 /，以便在所有子域名下共享。
浏览器设置：确保浏览器允许 Cookie，并检查是否有隐私保护设置。

参考链接

通过以上方法，可以有效地管理和共享 Cookie，提升用户体验和网站功能。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

挖洞经验 | 看我如何通过子域名接管绕过Uber单点登录认证机制

Uber使用Amazon CloudFront CDN架构的网站saostatic.uber.com存在子域名安全漏洞，可被攻击者接管。另外，Uber近期部署在网站auth.uber.com上，基于Uber所有子域名cookie共享实现认证的单点登录系统（SSO）也存在安全问题，攻击者可通过入侵控制任意一个*.uber.com子域名进行会话cookie窃取。因此，这两个问题的综合应用将造成对Uber整个SSO系统的身份认证绕过，实现对所有Uber子域名网站的访问控制，影响甚大。目前，通过我的漏洞发现，U

05

【已解决】帝国CMS设置cookie子域名共享

今天是接触帝国cms的第三天，涉及到了一个问题，系统目前有一个主站和一个论坛二级站，希望是在主站登录之后再二级站点也能够直接登录，不需要进行二次操作了。这是第一个需求。接下来会完善主站和disscuz论坛之间的登录会话共享问题。

00

图解单点登录

单点登录( Single Sign On ，简称 SSO），是目前比较流行的企业业务整合的解决方案之一，用于多个应用系统间，用户只需要登录一次就可以访问所有相互信任的应用系统。

02

关于 Cookie，了解这些就足够了

Cookie 是用户浏览器保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

02

单点登录与权限管理本质：session和cookie介绍

本篇开始写「单点登录与权限管理」系列的第一部分：单点登录与权限管理本质，这部分主要介绍相关的知识概念、抽象的处理过程、常见的实现框架。通过这部分的介绍，能够对单点登录与权限管理有整体上的了解，对其相关概念、处理流程、常见实现有个基本的认识。

03

简单了解单点登录流程

做了那么多年前端，还没做过有关于单点登录的项目，早之前我理解的单点登录是一个账号只能一个地方登录。其实单点登录我们使用的太多了。比如我们登录了淘宝相当于登录了天猫。

01

页面优化 - 使用cookie-free提高效率

在Yslow等页面优化建议中常会看到一个指标“Use cookie-free domains” 原因当浏览器请求一个静态图片时，也会一并发送此域名的Cookie，但这个Cookie对服务器完全没用，所以服务器会忽略，这就说明此情况下Cookie根本没必要通过网络传输为了减少网络开销，就有了 cookie-free 这个概念，特别是当细碎静态文件特别多的情况下更要注意这个指标了例如网站域名为 abc.com，首页中有50个图片，图片的地址为 abc.com/[1-50].jpg 浏览器中设有 abc.

07

图文并茂，为你揭开“单点登录“的神秘面纱

单点登录( Single Sign On ，简称 SSO），是目前比较流行的企业业务整合的解决方案之一，用于多个应用系统间，用户只需要登录一次就可以访问所有相互信任的应用系统。

01

看我如何发现苹果公司官网Apple.com的无限制文件上传漏洞

最后，我也因此测试漏洞收获了苹果官方不菲的赏金，以及漏洞名人堂的入榜致谢。好吧，我们一起来看看这个苹果官网的无限制文件上传漏洞。

03

记一次后台注入cookie

快两个月没有日记了，过了将近一个月猪一样的生活，天天吃了睡睡了吃，也都不学习。这两星期在家办公，在调试后台注入cookie遇见了一些问题，记录一下。

02

GA源代码里的小技巧之cookie篇

cookie的本质是存储在浏览器端的一段简单数据（多个键值对），浏览器会从服务器接受或者发送给服务器cookie。这样便可以为没有状态的HTTP协议提供了记录状态信息的方法，知道多个不同的HTTP请求是否来自同一个浏览器。

04

挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞

今天分享的writeup是一个非常有意思的漏洞，作者在目标网站Tomcat Examples的遗留测试示例中，发现了Cookie Example示例页面显示了主站的所有Cookie信息，可通过其实现Cookie窃取，该漏洞最终收获了四位数$

02

【HTTP】浅谈Cookie与Session那些事

这时候，我们就需要通过cookie来对用户的身份进行标识了，用户每次对服务器发起请求时，都带上自己独有的cookie，服务器通过读取cookie信息，识别用户。

03

网站域名到底加不加 WWW

总的来说对于大访问量或多子域名的网站来说，不建议使用裸域。小流量或子域名少的网站的话就看个人爱好了。我挺喜欢裸域的。最近几年流行起来的「单页网页应用」 ( Single Page Web App ) 也是以采用裸域的居多，Twitter 算是一例。

02

Cookie常用API

1. JSP中Cookie的读写 Cookie的本质是一个键值对，当浏览器访问web服务器的时候写入在客户端机器上，里面记录一些信息。Cookie还有一些附加信息，比如域名、有效时间、注释等等。下面是一个jsp中写入读取Cookie的测试：在顶级域名中写入Cookie，在子域名中读取，目的是实现一个分布系统的单点登录。两个jsp中读写代码如下：写入： <% Cookie cookie = newCookie("write","cookie_write"); cookie.setComment

07

HTTP: 一个关于 safari 安全策略引发的 cookie 问题

接口使用无 cookie 方式传递，在获取图形验证码的时候，约定一个参数。供验证验证码的时候使用。

03

子域名接管漏洞是怎么回事儿

今天学习了下子域名接管漏洞，通过该漏洞可以接管目标子域名，让其显示我设置的任意页面，造成的危害，主要用于网络钓鱼，包括但不限于伪造钓鱼页面，还可以盗取 Cookie，伪造电子邮件等，具体风险可参考文章：

02

一级域名、二级域名 cookie

域名是用.(点号)隔开的多个组，组名通常用英文字母+数字组成，比如www.baidu.com。一级域名就是最右边的那一组，常见得有 com、org、cn、net，一级域名也叫顶级域名，按照百度全科，顶级域名通常有几类，比如地区，.cn、.jp，也有盈利性组织比如.com，也有非营利性组织.org，也有网络提供商比如.net。二级域名是animail.com中animal 三级域名是 www.animal.com中的www, elephant.animal.com中的elephant 四级域名是small.elephant.animal.com中的small 以此类推… 通常我们都会说几级域名几级域名，指的是一共有几级，比如small.elephant.animal.com我们说它是四级域名，是因为一共有四级。

01

Gospider：一款基于Go语言的快速Web爬虫

Gospider是一款运行速度非常快的Web爬虫程序，Gospider采用Go语言开发。

03

深入分析 Session 和 Cookie

在Web发展史中，我们知道浏览器与服务器间采用的是http协议，而这种协议是无状态的，所以这就导致了服务器无法知道是谁在浏览网页，但很明显，一些网页需要知道用户的状态，例如登陆，购物车等。

02

Web安全攻防(简)学习笔记

信息收集是渗透测试全过程的第一步，针对渗透目标进行最大程度的信息收集，遵随“知己知彼，百战不殆”的原则，先了解目标在利用目标。

03

深入分析 Session 和 Cookie

在Web发展史中，我们知道浏览器与服务器间采用的是 http协议，而这种协议是无状态的，所以这就导致了服务器无法知道是谁在浏览网页，但很明显，一些网页需要知道用户的状态，例如登陆，购物车等。

02

看我如何在前期踩点过程中发现价值$4500的漏洞

首先，我用来测试子域名漏洞的工具是Aquatone（洛克希德U2侦察机代号也叫这个），这个工具非常好用，可算是众多白帽的必备利器了。非常幸运的是，我不经意地用它来测试目标，就有了发现，真像是中了头奖！

06

八幅漫画理解使用 JWT 设计的单点登录系统

上次在《JSON Web Token - 在Web应用间安全地传递信息》中我提到了JSON Web Token可以用来设计单点登录系统。我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统，然后再延伸到单点登录系统。

03

彻底理解cookie

cookie混乱问题一：那这就产生了问题：有些设置有些不设置Domain，就会产生两个名字一样，但值不一样的cookie cookie混乱问题二：子域名不能给主域名乱设置值，如果cookie名字完全一样，那就产生了第二个混乱

04

八幅漫画理解使用JSON Web Token设计单点登录系统

博主前言这篇转载的文章和上一篇《JSON Web Token - 在Web应用间安全地传递信息》文章均为转载，是我个人在研究 jwt 时浏览下来发现的两篇质量比较高的文章，所以分享给大家。个人对于 jwt 使用场景的理解，包括微信公众号留言中的提问，我都会在下一篇文章中来聊一聊。实际上使用 jwt 设计单点登录系统存在诸多的问题，很多有经验的工程师比较抵制用 jwt 做会话和所谓的单点登录系统，但不妨碍大家作为一个知识点去学习。以下是原文上次在《JSON Web Token - 在Web应用间安全地

05

PHP cookie，session的使用与用户自动登录功能实现方法分析

本文实例讲述了PHP cookie，session的使用与用户自动登录功能实现方法。分享给大家供大家参考，具体如下：

03

【flask】子域名的配置与使用

配置文件 config.py配置文件添加 SESSION_COOKIE_DOMAIN ='my.heanny.cn' SERVER_NAME = 'my.heanny.cn' 该域名为默认域名视图配置默认使用的域名： app.url_map.default_subdomain='www' 单独配置静态文件的路由（不然全炸） __init__.py内容 app = Flask(__name__, template_folder='./templates', static_url_path='', sta

02

一篇解释清楚Cookie是什么？

HTTP Cookie（也叫 Web Cookie 或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。使用场景：

01

【安全】 Cookie

后面会把前端进阶的课程内容都总结一遍。有些都是很常见的知识，但是为了梳理自己的知识树，所以尽量模糊的地方都会记录

01

再战子域共享Cookie问题

昨天贾宁旨光临寒舍，吃过晚饭回来后就跟他聊天，后来又玩了一会儿《Black Hawk Down》对战，到了大概晚上11点多，开始继续尝试用 Response.Cookies.Domain 来解决子域共享 Cookie 的问题。根据网上的资料，包括 MSDN 的文章都说设置 Response.Cookies("domain").Domain = "Microsoft.com" 这样的形式以后，可以实现该Cookie对整个“Microsoft.com”域下的所有服务器都可以共享。我在本机测试的时候，也的确实现

05

Flask的路由解读以及其配置

推荐使用原因:因为测试和上线时候DEBUG属性再测试时候一般为true上线为false所有可以把其他公用的内容放一个基类中,下面测试和上线都继承基类,用的时候切换类名即可

01

h5高效本地调试环境搭建

调试是永远和开发分不开的一个话题，我相信没有谁能够不经过调试，一气呵成，将一个需求开发出来，如果是这样，一般都是一通操作猛于虎，一看bug在跳广场舞。嗯，段子讲完了，那么久要进入正题了。

SRC逻辑漏洞挖掘浅谈

巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务，收集其对应的业务下的域名，再进一步进行挖掘，如：

02

【Java 进阶篇】Java Cookie共享：让数据穿越不同应用的时空隧道

在Web开发中，Cookie是一种常见的会话管理技术，用于存储和传递用户相关的信息。通常，每个Web应用都会在用户的浏览器中设置自己的Cookie，以便在用户与应用之间保持状态。然而，有时我们需要在不同的应用之间共享Cookie数据，让数据像穿越时空的时光旅行一样在不同的Web应用之间传递。本篇博客将深入探讨如何实现Java Cookie的共享，解锁跨应用数据传递的奥秘。

02

Subdomain-Takeover子域名接管原理和利用案例

注意：本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。

02

Subdomain-Takeover子域名接管原理和利用案例

注意：本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。

01

子级域名实现Cookie共享

今天本来想写一篇关于Session实现单点登录的文章，写一半的时候，发现自己仍然有些问题是很无法解释清楚的，所以只能自己解决之后再写。而顶级域名下的子域名实现Cookie共享是Session单点问题的一个案例，所以现在抽取出来了解一下。

05

单点登录的 3 种实现方式

在 B/S 系统中，登录功能通常都是基于 Cookie 来实现的。当用户登录成功后，一般会将登录状态记录到 Session 中，或者是给用户签发一个 Token，无论哪一种方式，都需要在客户端保存一些信息（Session ID 或 Token ），并要求客户端在之后的每次请求中携带它们。

01

单点登录的三种实现方式，你会几种？

当用户登录成功后，一般会将登录状态记录到 Session 中，或者是给用户签发一个 Token，无论哪一种方式，都需要在客户端保存一些信息（Session ID 或 Token ），并要求客户端在之后的每次请求中携带它们。

02

Gin 学习之 cookie 读写

HTTP Cookie（也叫 Web Cookie 或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

01

记录一次Druid未授权访问的实战应用

本篇文章中所涉及过程并不是很复杂，主要记录在挖掘SRC时，关于Druid未授权访问的实战利用。

02

HTTP缓存机制与Cookie

缓存是一种保存资源副本并在下次请求时直接使用该副本的技术。当Web缓存发现请求的资源已经被存储，它会拦截请求，返回该资源的拷贝，而不会去源服务器重新下载。

02

什么是跨域？如何解决跨域？

✨ 什么是跨域域：是指浏览器不能执行其他网站的脚本跨域：它是由浏览器的同源策略造成的,是浏览器对 JavaScript 实施的安全限制，所谓同源（即指在同一个域）就是两个页面具有相同的协议 protocol，主机 host 和端口号 port 则就会造成跨域图片 ✨ 跨域场景场景的跨域场景有哪些，请参考下表当前url 请求url 是否跨域原因 http://www.autofelix.cn http://www.autofelix.cn/api.php 否

05

如何取消Chrome浏览器跨域请求限制、跨域名携带Cookie限制、跨域名操作iframe限制？

取消跨域限制、跨域名携带Cookie限制、跨域名操作iframe限制之后的Chrome可以更加方便Web前端开发，同时也可以作为一个完美的爬虫框架。

03

协议常识

超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准 http://这就是http协议的一个标准。(访问一个网站前面必须有http://)

02

信息收集小结

信息收集作为渗透测试的第一步往往至关重要，好的信息收集是打穿内网的基础。曾有大佬言：渗透测试的本质就是信息收集，那么我们从何开始信息收集呢？一般都是通过域名或IP地址进行展开，本小结主要从域名信息收集、子域名信息收集、端口信息收集、CMS指纹识别、敏感信息收集、CDN绕过这几大块进行归纳。

04

程序员必须要了解的网络协议HTTP,也许你只了解其中一部分

获取报文首部和GET 方法类似，但是不返回报文实体主体部分。主要用于确认 URL 的有效性以及资源更新的日期时间等。

02

Nuubi：一款功能强大的信息收集&网络侦查扫描工具

Nuubi是一款功能强大的信息收集&网络侦查扫描工具，该工具基于Python语言开发，因此拥有较强的跨平台特性，广大研究人员可以使用Nuubi轻松完成信息收集、网络侦查以及网络扫描等任务。

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭