Pliki cookie na localhost z wyraźną domeną

Ogólnie zgadzam się z @ Ralph Buchfelder, ale tutaj jest pewne wzmocnienie tego, eksperymentując przy próbie replikacji systemu z kilkoma subdomenami (takimi jak example.com, fr.example.com, de.example.com) na moim komputerze lokalnym (OS X / Apache / Chrome / Firefox).

Edytowałem /etc / hosts, aby wskazać niektóre wymyślone subdomeny na 127.0.0.1:

127.0.0.1 localexample.com
127.0.0.1 fr.localexample.com
127.0.0.1 de.localexample.com

Jeśli pracuję nad fr.localexample.com i zostawiam parametr domeny, plik cookie jest przechowywany poprawnie dla fr.localexample.com, ale nie jest widoczny w innych subdomenach.

Jeśli używam domeny". localexample.com", plik cookie jest przechowywany poprawnie dla fr.localexample.com, oraz jest widoczne w innych subdomenach.

Jeśli używam domeny "localexample.com", lub kiedy próbowałem domeny o nazwie" localexample "lub" localhost", plik cookie nie był zapisywany.

Jeśli używam domeny "fr.localexample.com " lub". fr.localexample.com", plik cookie jest przechowywany poprawnie dla fr.localexample.com i jest (poprawnie) niewidoczny w innych subdomenach.

Więc wymóg, że potrzebujesz co najmniej dwóch kropek w domenie wydaje się być poprawny, mimo że nie widzę powodu.

Jeśli ktoś chce to wypróbować, oto jakiś przydatny kod:

<html>
<head>
<title>
Testing cookies
</title>
</head>
<body>
<?php
header('HTTP/1.0 200');
$domain = 'fr.localexample.com';    // Change this to the domain you want to test.
if (!empty($_GET['v'])) {
    $val = $_GET['v'];
    print "Setting cookie to $val<br/>";
    setcookie("mycookie", $val, time() + 48 * 3600, '/', $domain);
}
print "<pre>";
print "Cookie:<br/>";
var_dump($_COOKIE);
print "Server:<br/>";
var_dump($_SERVER);
print "</pre>";
?>
</body>
</html>

Localhost: możesz użyć: domain: ".app.localhost" i będzie działać. Parametr 'domena' wymaga 1 lub więcej kropek w nazwie domeny do ustawienia plików cookie. Następnie możesz mieć sesje działające w subdomenach localhost, takich jak: api.app.localhost:3000.

Gdy plik cookie jest ustawiony z jawną domeną "localhost" w następujący sposób...

Set-Cookie: nazwa=wartość; domain=localhost; expires=Thu, 16-Jul-2009 21: 25: 05 GMT; path=/

...następnie przeglądarki ignorują go, ponieważ nie zawiera co najmniej dwóch okresów i nie jest jedną z siedmiu specjalnie obsługiwanych domen najwyższego poziomu.

...domeny muszą mieć co najmniej dwa (2) lub trzy (3) okresy do zapobieganie domenom formularza:". com", ". edu", oraz "va.us". każda domena to nie powiedzie się w jednej z siedmiu specjalnych domen najwyższego poziomu wymienionych poniżej wymagają tylko dwóch okresów. Każda inna domena wymaga co najmniej trzy. Siedem specjalnych domen najwyższego poziomu to: "COM", "EDU", " NET", "ORG", "GOV", " MIL " i "INT".

Zauważ, że liczba okresów powyżej prawdopodobnie zakłada, że wymagany jest okres wiodący. Ten okres jest jednak ignorowany w nowoczesnych przeglądarkach {[10] } i prawdopodobnie powinien być przeczytany...

At najmniej jeden (1) lub dwa (2) okresy

Należy zauważyć, że domyślną wartością atrybutu domeny jest Nazwa hosta serwera, który wygenerował odpowiedź cookie.

Więc obejściem dla plików cookie, które nie są ustawione dla localhost, jest po prostu nie określać atrybutu domeny i pozwolić przeglądarce używać wartości domyślnej - wydaje się, że nie ma to takich ograniczeń, jak Jawna wartość atrybutu domeny.

Wyniki zmieniałem w zależności od przeglądarki.

Chrome-127.0.0.1 działał, ale localhost .localhost i "" nie. Firefox- .localhost działał, ale localhost, 127.0.0.1, a "" nie.

Nie testowano w Opera, IE lub Safari

Spędziłem dużo czasu rozwiązując ten problem sam.

Korzystanie z PHP, i nic na tej stronie nie działa dla mnie. W końcu zdałem sobie sprawę w moim kodzie, że 'Bezpieczny' parametr PHP session_set_cookie_params () był zawsze ustawiany na TRUE.

Ponieważ nie odwiedzałem localhost z https, moja przeglądarka nigdy nie zaakceptowałaby pliku cookie. Tak więc zmodyfikowałem tę część mojego kodu, aby warunkowo ustawić "bezpieczny" param na podstawie $_SERVER ['HTTP_HOST'] jako "localhost" lub nie. Teraz działa dobrze.

Mam nadzieję, że to komuś pomoże.

Miałem dużo więcej szczęścia testując lokalnie używając 127.0.0.1 jako domeny. Nie jestem pewien, dlaczego, ale miałem mieszane wyniki z localhost i .localhost itp.

Żadna z sugerowanych poprawek nie zadziałała - ustawienie na null, false, dodanie dwóch kropek itp. - nie zadziałało.

W końcu właśnie usunąłem domenę z pliku cookie, jeśli jest to localhost i teraz działa dla mnie w Chrome 38 .

Poprzedni kod (nie działał):

document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';domain=.' + document.domain + ';path=/;';

Nowy kod (teraz działa):

 if(document.domain === 'localhost') {
        document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';path=/;' ;
    } else {
        document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';domain=.' + document.domain + ';path=/;';
    }

Dokument.cookie = valuename + "=" + value+"; " + expires +"; domain=; path=/";

Ta " domena=; ścieżka=/"; przyjmie dynamiczną domenę, ponieważ jej plik cookie będzie działał w subdomenie. jeśli chcesz przetestować w localhost to zadziała

Żadna z odpowiedzi nie zadziałała. Naprawiłem to, umieszczając moje PHP jako pierwszą rzecz na stronie.

podobnie jak inne nagłówki, pliki cookie muszą być wysyłane przed jakimkolwiek wyjściem ze skryptu (jest to ograniczenie protokołu). Wymaga to umieszczenia wywołań tej funkcji przed dowolnym wyjściem, w tym znaczników and, a także białych znaków.

Z http://php.net/manual/en/function.setcookie.php

Istnieje problem na Chromium otwarty od 2011 roku, że jeśli jawnie ustawiasz domenę jako 'localhost', powinieneś ustawić ją jako false LUB undefined.

Trochę się bawiłem.

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=localhost; Path=/

Działa w Firefoksie i Chrome od dziś. Jednak nie znalazłem sposobu, aby to działało z curl. Próbowałem Host-Header i -- resolve, no luck, any help appreciated.

Jednak działa w curl, jeśli ustawiłem go na

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=127.0.0.1; Path=/

Kolejny ważny szczegół, expires = powinien używać następującego formatu daty i czasu: Wdy, DD-Mon-YYYY HH: MM: SS GMT (RFC6265-sekcja 4.1.1).

Set-Cookie:
  name=value;
  domain=localhost;
  expires=Thu, 16-07-2019 21:25:05 GMT;
  path=/

Miałem ten sam problem i naprawiłem go, umieszczając 2 kropki w samej nazwie pliku cookie bez określania żadnej domeny.

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly

Wydaje się, że występuje problem, gdy używasz https://<local-domain>, a następnie http://<local-domain>. Strona http:// nie wysyła plików cookie z żądaniami po ustawieniu ich przez stronę https://. Wymuś przeładowanie i wyczyść pamięć podręczną nie pomaga. Działa tylko ręczne czyszczenie plików cookie. Ponadto, jeśli wyczyszczę je na stronie https://, strona http:// zacznie działać ponownie.

Wygląda na związane z"Strict secure cookies". Dobre wyjaśnienie tutaj . Został wydany w Chrome 58 w dniu 2017-04-19.

Wygląda jak chrom w rzeczywistości zapisuje zarówno bezpieczne pliki cookie, jak i niezabezpieczone pliki cookie, ponieważ wyświetli prawidłowe pliki cookie w zależności od protokołu Strony po kliknięciu ikony paska adresu.

Ale Developer tools > Application > Cookies nie wyświetli niezabezpieczonego pliku cookie, gdy istnieje bezpieczny plik cookie o tej samej nazwie dla tej samej domeny, ani nie wyśle niezabezpieczonego pliku cookie z żadnymi żądaniami. Wygląda to na błąd Chrome, lub jeśli takie zachowanie jest oczekiwane, powinien istnieć sposób na wyświetlenie bezpiecznych plików cookie, gdy na stronie http i / align = "left" /

Obejście polega na używaniu różnych nazwanych plików cookie w zależności od tego, czy są one przeznaczone dla witryny http czy witryny https, i nazwaniu ich specyficznymi dla Twojej aplikacji. Prefiks __Secure- oznacza, że plik cookie powinien być ściśle zabezpieczony, a także jest dobrą praktyką, ponieważ bezpieczne i niezabezpieczone nie kolidują ze sobą. Istnieją inne korzyści również dla przedrostków.

Używanie różnych domen /etc/hosts dla https vs. http access też by działało, ale jeden przypadkowy https://localhost wizyta uniemożliwi działanie plików cookie o tych samych nazwach na stronach http://localhost - więc nie jest to dobre obejście.

Złożyłem raport o błędzie Chrome .