新足迹 › 论坛 › 兴趣爱好区 › IT与科技 › IT专业论坛 › Share Cookies between two domains

精华好帖回顾
· 十个孩子九个画 (2007-6-15) AgeanSea	· 外出务工在贵州——贵州部分地区走访笔记与思考（节选） (2005-3-3) 清水胖头鱼
· 汽车维修方面需要帮忙的请进。 (2006-12-19) 老卢	· ice blue - 冬日贝加尔湖笔记 (2018-4-1) zzoz

查看: 1713|回复: 18

Share Cookies between two domains [复制链接]

dalaohu

金靴族

发表于 2011-6-16 12:37 |显示全部楼层

此文章由 dalaohu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dalaohu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

I want a cookie to be set by
domainA.com
read by
domainB.com

and vice verse.

Discuss.

righttang

金靴族

发表于 2011-6-16 12:38 |显示全部楼层

此文章由 righttang 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 righttang 所有！转贴必须注明作者、出处和本声明，并保持内容完整

这个我玩过，叫cross domain 啥啥啥的。。。

不过我们最后没有用这个东西，有不稳定性，和不同浏览器的各种安全问题。
所以用一个父domain，下面挂2个A和B，分别干自己的事情来解决了

[ 本帖最后由 righttang 于 2011-6-16 11:40 编辑 ]

porcorosso

金靴族

发表于 2011-6-16 12:40 |显示全部楼层

此文章由 porcorosso 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 porcorosso 所有！转贴必须注明作者、出处和本声明，并保持内容完整

domain + subdomain 的就刚玩过。

cross domain 可以的么？

dalaohu

金靴族

发表于 2011-6-16 12:41 |显示全部楼层

回复 righttang 2# 帖子

此文章由 dalaohu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dalaohu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

yes sub domain will be easier.

乱码

银靴族

发表于 2011-6-16 12:58 |显示全部楼层

此文章由乱码原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者乱码所有！转贴必须注明作者、出处和本声明，并保持内容完整

如果没有什么其他heck tricks的帮助，或者server那边设定cross domain policy,基本上不可能作到。

browsers follow Same origin policy,好像有3条， scheme/domain name/port,必须全部一样，browser才能把cookie从request带过去，否则不行.

greasemoney是个不错的工具，你可以尝试一下，用不好也很危险。

典

银靴族

发表于 2011-6-16 13:24 |显示全部楼层

此文章由典原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者典所有！转贴必须注明作者、出处和本声明，并保持内容完整

突然想到控件，大家都不喜欢控件么？虽然有很多局限，如果是企业内部网还是可以考虑的。
我们在用一个网页控件，我偷偷地放了两个后门在里边，如果检测到客户机器有某些exe文件，就运行之，呵呵

用C# 写个控件obj，带几个public的函数write_data, read_data之类的
网页获得xml/json之类的数据后，用javascript调用控件的public 函数，
因为控件能获取客户端本地资源，想做什么都可以

[ 本帖最后由典于 2011-6-16 12:34 编辑 ]

梦呓人

银靴族

发表于 2011-6-16 13:27 |显示全部楼层

此文章由梦呓人原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者梦呓人所有！转贴必须注明作者、出处和本声明，并保持内容完整

关注+学习

bulaohu

钻石靴族

发表于 2011-6-16 14:04 |显示全部楼层

此文章由 bulaohu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 bulaohu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由乱码于 2011-6-16 11:58 发表
如果没有什么其他heck tricks的帮助，或者server那边设定cross domain policy,基本上不可能作到。

browsers follow Same origin policy,好像有3条， scheme/domain name/port,必须全部一样，browser才能把cookie从request ...

SOP is for Javascript (and other scripts)

With cookie you can specify a scope, which can be something like google.com, so it'll be readable by both www.google.com & reader.google.com

Apart from this I don't think there is any other way. Trying to break these security measures is and never will be a good idea.

乱码

银靴族

发表于 2011-6-16 14:47 |显示全部楼层

此文章由乱码原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者乱码所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 bulaohu 于 2011-6-16 13:04 发表

SOP is for Javascript (and other scripts)

With cookie you can specify a scope, which can be something like google.com, so it'll be readable by both www.google.com & reader.google.com

Apart from th ...

嗯，www.google.com 和 reader.google.com被认为隶属同一个domain.

[ 本帖最后由乱码于 2011-6-16 13:48 编辑 ]

dalaohu

金靴族

发表于 2011-6-16 15:05 |显示全部楼层

此文章由 dalaohu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dalaohu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 bulaohu 于 2011-6-16 13:04 发表

SOP is for Javascript (and other scripts)

With cookie you can specify a scope, which can be something like google.com, so it'll be readable by both www.google.com & reader.google.com

Apart from th ...

yea that's sub domain though, sub domain is easier, you can just specify the cookie's domain.

足迹 Reader is phenomenal. If you never used, you never lived 火速下载

righttang

金靴族

发表于 2011-6-16 17:58 |显示全部楼层

此文章由 righttang 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 righttang 所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 dalaohu 于 2011-6-16 11:41 发表
yes sub domain will be easier.

当初我玩的好像是一个domain下的javascript 去call另外一个domain下的javascript

反正做得挺恶心的，是在B上做一个interval，侦听，然后通过另外一个手段，从A那里传值过去。。。

bulaohu

钻石靴族

发表于 2011-6-16 18:03 |显示全部楼层

此文章由 bulaohu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 bulaohu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

i know, and I also said I'm fundamentally against the idea of exchanging cookie data <--> non-sub domains. It's simply a road to hell. But I'm a security guy, my mindset is restrictive, which is the opposite to most programmers.

dalaohu

金靴族

发表于 2011-6-16 18:04 |显示全部楼层

此文章由 dalaohu 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dalaohu 所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 righttang 于 2011-6-16 16:58 发表

当初我玩的好像是一个domain下的javascript 去call另外一个domain下的javascript

反正做得挺恶心的，是在B上做一个interval，侦听，然后通过另外一个手段，从A那里传值过去。。。

如果两者是完全不同的domain的话，差不错就要做一些恶心的事了。

这次我看看能不能把它做成sub domain。否则太恶心了不行啊。。。

足迹 Reader is phenomenal. If you never used, you never lived 火速下载

乱码

银靴族

发表于 2011-6-16 18:26 |显示全部楼层

此文章由乱码原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者乱码所有！转贴必须注明作者、出处和本声明，并保持内容完整

原帖由 bulaohu 于 2011-6-16 17:03 发表
i know, and I also said I'm fundamentally against the idea of exchanging cookie data non-sub domains. It's simply a road to hell. But I'm a security guy, my mindset is restrictive, which is the oppos ...

agreed, if we allow this, it's fundamental security breach.