jquery - 如何在我的 Web 客户端上复制此 cookie 功能？

Question

根据我的阅读，跨域发送 cookie 是不可能的（据我了解，浏览器出于隐私原因阻止了它们）。但是，我希望有人可以告诉我有关解决方法的问题。

我已经在我们的 .Net winForms 客户端中实现了这一点，但是我无法让它在我们的网络软件上运行。

场景：我有我的网站，这需要调用第 3 方系统，该系统使用带有 XML 的 rest 实现，该实现存在于客户防火墙内，并且无法从其办公室外部访问（VPN 也不是一个选项）。

我设置了我的 cookie：

$.cookie('name', 'value', {path : '/', domain : '192.168.254.164'});

并提出发帖请求

$.post(call, function(d) {}, 'text')
.success(function(d) {... /*do something*/

但是，未发送 cookie（请参阅下面的请求和响应标头）

Request Headers
Accept    text/plain, */*; q=0.01
Accept-Encoding   gzip, deflate
Accept-Language   en-gb,en;q=0.5
Connection    keep-alive
Host  192.168.254.164:8080
Origin    http://localhost:27249
Referer   http://localhost:27249/index.html
User-Agent    Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0


Response Headers
Access-Control-Allow-Orig...  http://localhost:27249
Cache-Control no-cache
Content-Type  application/xml;charset=UTF-8
Date  Tue, 01 May 2012 15:14:58 GMT
Server    Sun Java System Application Server 9.1_01
Set-Cookie    JSESSIONID=8f7fbcd40348c0b5d912830bca8a; Path=/App
Transfer-Encoding chunked
X-Powered-By  Servlet/2.5

我收到的响应告诉我我未经授权（这是因为未设置 cookie）。

我不能修改第三方服务器上的任何东西，所以在代理服务器上，我不能使用 JSONP，因为一切都在 XML 中。

为了调试，我尝试在发送之前读取 cookie，但结果为“null”：

alert($.cookie(_svcMnuCookieSessionIdKey));

我是网络开发的新手，所以这可能是一个奇怪的问题——但正如你从响应头中看到的那样，我相信我收到了一个 cookie（我登录时收到了相同的 cookie）——因为浏览器处理 cookie ，它不应该保存它并自动将其应用于我的请求吗？而不是我必须像上面那样手动添加它？尽管如此，JSESSIONID 看起来在两个请求中都有不同的值，并且规范说我必须使用我登录时获得的原始 JSESSIONID 作为我的 cookie 的值。

在我的 .Net 应用程序中，我这样做类似于：

 Dim httpWebRequest As Net.HttpWebRequest = CType(Net.WebRequest.Create("http://192.168.254.164:8080/App/RestfulService"), Net.HttpWebRequest)

 httpWebRequest.UserAgent = My.Application.Info.AssemblyName
 httpWebRequest.KeepAlive = True 'set the connection keep-alive (this is the default)
 httpWebRequest.Headers.Set(Net.HttpRequestHeader.Pragma, "no-cache") 'we don't want caching to take place so we need to set the pragma header to say we don't want caching
 httpWebRequest.Method = "POST"

 If Not String.IsNullOrEmpty(_sessionId) Then 'it isn't used on some request, so don't add it if it is nothing
     Dim cookie As New System.Net.Cookie("JSESSIONID", _sessionId)
     cookie.Domain = New Uri("http://192.168.254.164:8080/App/RestfulService").Host
     httpWebRequest.CookieContainer = New Net.CookieContainer
     httpWebRequest.CookieContainer.Add(cookie)
 End If

 httpWebRequest.ContentType = "application/x-www-form-urlencoded"

 Dim postData As Byte() = New System.Text.UTF8Encoding(False).GetBytes(RichTextBox1.Text)

 httpWebRequest.ContentLength = postData.Length

 Using tmpStream As IO.Stream = httpWebRequest.GetRequestStream
     tmpStream.Write(postData, 0, postData.Length)
 End Using

 Dim httpWebResponse As Net.HttpWebResponse = CType(httpWebRequest.GetResponse, Net.HttpWebResponse)

 If WebValidation.WebResponseHasContent(httpWebResponse) Then

     Dim str As String = String.Empty
     'Read the raw HTML from the request
     Using sr As New IO.StreamReader(httpWebResponse.GetResponseStream, System.Text.Encoding.UTF8)
         str = sr.ReadToEnd
     End Using

 End If

Return str

那么，这是一个跨域 cookie 请求吗？以及如何在我的 Web 客户端中重新创建此功能？

score 1 · Accepted Answer

我不认为您正在尝试设置跨域 cookie。系统不会要求您这样做。通常在这种情况下，您需要与第 3 方系统进行一些握手以获取令牌，或者在您的情况下首先获取 JSESSIONID（来自系统）。但是，从外观上看，您试图在 3rd 方系统上设置 cookie，而不是从系统接受 cookie。那有意义吗？所以我期望的是，您需要向第 3 方系统发出请求以获取令牌，然后在您尝试获取 xml 时为每个后续请求传递该令牌。

我认为在你的场景中你有你的网络应用程序和第 3 方应用程序。您可能会感到困惑的是在您的浏览器上设置的 cookie 与在您的网络应用程序上“设置”的 cookie（用于身份验证）。

当您通过第 3 方系统进行身份验证并返回 JSESSIONID 后，请尝试将后续请求标头设置为包含“cookie”标头，其中包含 JSESSIONID 或第 3 方系统进行身份验证所需的任何内容。

请记住，在这种情况下，当您从您的网络应用程序调用第 3 方作为服务时，您的网络应用程序就是调用第 3 方的“浏览器”。因此，当它对第 3 方系统进行后续调用时，它必须通过假装存在 cookie（包含您的身份验证 sessionid）来模仿浏览器 - 您可以通过设置“cookie”请求标头来做到这一点。

score -2 · Accepted Answer

你不能。浏览器制造商花费了大量时间和精力来确保您尝试完成的事情不会发生，即使您确实找到了临时解决方案，它也会被视为安全漏洞并可能在下一个版本中修补。

相反，尝试弄清楚如何将所需的信息传递到 Web 服务中。

jquery - 如何在我的 Web 客户端上复制此 cookie 功能？

2 回答 2

Related

Reference