问题标签 [cookieless]

按照关于 google 的 pagespeed 插件的建议，我将我的静态内容（图像、css、javascript 文件）移动到我的网站的子域中，在该子域上不应该有 cookie，从而为这些文件的每个请求节省了请求标头中的一些空间。但是，在查看结果时，我发现仍在为该子域创建 cookie。我的网站上有 google adsense，它正在将 cookie 写入根域 *.example.com 而不仅仅是 www.example.com

有什么方法可以强制 AdSense 仅将 cookie 写入用于显示添加的确切域而不是根域？

在具有 cookieless= AutoDetect 的 Web 应用程序上拥有一个简单的“Hello World”Web 服务。我无法在没有错误的情况下调用 Web 服务。如果 cookieless 设置为 False 或 True，那么一切正常。提前致谢。

我不希望用户每次都必须输入密码，也不希望将密码存储在本地。当用户第一次向我发送他们的用户名和密码时，我计划发回他们密码的一些散列版本（密码+盐的散列），这将被放入本地存储中，以用于授权对我们 Web 服务的后续调用。

我知道，如果我的本地存储受到破坏（例如被盗电话），小偷将能够窃取令牌并以用户身份进行 Web 服务调用，但至少他们不会拥有用户的密码。

还有其他我忽略的漏洞吗？是否有理由将其放入 cookie 而不是 localstorage 中？

我很确定我没有一个独特的问题，但我已经在谷歌和这个网站上进行了搜索，但我还没有找到我正在寻找的可靠答案。所以我想解释一下自己，看看我是否能在这个问题上得到任何帮助：

我们（我和我的同事）确定我们需要无 cookie 会话，因为我们的用户需要多个会话才能以更高效的方式完成他们的工作。

示例
Bob 用户可以在窗口 A 中启动一个长时间运行的进程，并且为了继续工作 Bob 将打开窗口 B，该窗口会产生一个新会话。这对于不干扰窗口 A 中正在发生的事情是必要的。每次 Bob 打开一个新窗口时，他都必须重新登录。

问题
我不确定这是否是一个真正的问题，因此我问的理由。我想我发现的问题是，每次 Bob 登录时，当前的 Forms Authentication Ticket（和 Cookie）都会被覆盖。现在我不明白这是怎么回事，或者为什么在 Bob 第二次登录后之前的 Session/Window 组合仍然有效。由于票证被覆盖，这是否意味着第一个会话/窗口组合应该因为票证不再有效而结束？这是关于：

问题
那么既然表单身份验证票（和 Cookie）被覆盖了，这意味着什么？

• 我是否应该担心票（和 Cookie）被覆盖？

• 在登录期间，我是否应该截取票证（如果有）并检查其过期时间？如果它没有过期，我应该尝试更新票还是只制作一张新票？

  /li>

• 如果我使用的是无 cookie 会话，我是否也应该使用无 cookie 表单身份验证？这样做的目的是使每个会话/窗口 100% 相互独立。不会再发生重写。这有什么回击吗？我什么都想不出来。

PS：我知道 cookie 只是存储在其中的内容的容器，例如键值对。

附加信息...

Forms Authentication Ticket：
IsPersistent 设置为 true
Ticket Version 2

Forms Cookie：
Key = FormsCookieName（来自 web.config 标签）
Value = Hashed Ticket

网络配置：

我正在尝试满足 Google 的 Page Speed 插件的Cookieless 域建议，但我遇到了我的主人，他无法为它为什么不工作的细节而烦恼。访问st1.dgcstatic.com应该和访问st1.defunctgames.com 一样；然而，这种情况并非如此。

我错过了配置步骤吗？我需要等待 DNS 传播吗？您可以在下面看到我的实验步骤。

DNS设置：

1. 创建 st1.dgcstatic.com 的 CNAME 以指向 dgcstatic.com 上的 st1.defunctgames.com
2. 在 defunctgames.com 上创建了 st1.defunctgames.com 的记录
3. 在 defunctgames.com 上创建了 st1.defunctgames.com 的子域

当我运行 atracert st1.dgcstatic.com它会产生以下结果：

当我运行 ahost st1.dgcstatic.com它会产生以下结果：

最后，使用这个站点似乎会产生相同的结果来显示正确配置的东西。

http://www.mxtoolbox.com/SuperTool.aspx?action=mx%3ast1.dgcstatic.com

根据所有这些结果，全世界都可以看到我的 DNS 更改，另一方面，当被问及为什么这不起作用时，我的主机给了我“等待传播”的繁琐。

我正在构建一个将显示在 iframe 中的站点/应用程序。我以前做过很多次，过去给我带来了很多问题……主要问题是跨域 cookie 被阻止。

我知道这是使用相同的根域名和设置 document.domain 的问题。但是考虑到可爱的新欧盟 cookie 立法（天哪，他们是蹩脚的）和浏览器在隐私和安全方面的总体方向，在 iframe 中使用会话 cookie 可能会变得越来越麻烦。因此，为了让网站稍微适应未来，我宁愿在不使用 cookie 的情况下实现它。

到目前为止，我的实现只是设置了一个查询字符串值，它被传递到所有页面。我猜这有点像 ASP.NET 的无 cookie 会话功能。然而，这意味着如果有人使用公共计算机，稍后使用它的另一个人可以找到他们的 URL（包括会话 ID）并继续他们的会话。由于本网站处理不可接受的敏感数据。ASP.NET 无cookie 功能也存在同样的漏洞（这让我对找到解决方案有点悲观）。

我正在.NET 中开发，但这必须是所有环境的通用问题。

精简版：

有谁知道如何在 iframe 内运行的无 cookie 站点中维护会话状态（也许还有一些最佳实践）。当用户关闭他的浏览器时，必须有效地终止会话，因此浏览器历史列表不会泄露任何信息 - 就像使用普通会话 cookie 一样。

可能的解决方案

我正在考虑这些方面的事情。但这远非最佳。

1. 页面不断向服务器发出保持活动的 ajax 请求
2. 服务器使用存储在查询字符串中的 ID 的最后一次 keep-alive 调用更新时间戳
3. 如果 keepalive 时间戳超过 10 秒，则与 ID 相关的数据将被终止，如果用户重新访问具有现在已死 ID 的 URL，则会收到“会话超时 - 请重新开始”消息。

我正在处理无 cookie 会话，我不打算通过 URL 传递变量，但我尝试使用 window.name 或隐藏表单。对于 window.name，我会这样做：

所以我可以通过这种方式跟踪 session_id。如果我要使用隐藏输入字段，我想我会做类似的事情。现在，我希望 window.name 中的这个变量 (session_id) 像 cookie 一样工作 - 用户单击某个链接，这会将他带到我的 web 的不同部分 => 请求被发送到服务器，服务器响应并页面显示。有了这个请求，我想使用 post 将 session_id 发送到服务器（好像它是一个 cookie）——但我不知道该怎么做。我在想这样的事情：

但我不认为它会起作用，正如我所说，我不会使用 URL 重写。其他方法可能是有一些隐藏的表单类型的帖子，点击链接设置表单的操作（链接的href），设置数据：session_id 并触发表单的操作。发送帖子以遵循下一页请求的任何想法？或者如何使用隐藏的表单域来实现同样的事情？任何帮助真的很感激..

我设置了子域 static.map.ninux.org 来为域 map.ninux.org 加载静态文件。目标是拥有一个无 cookie 的域。

我查了一下，发现 map.niux.org 上的谷歌分析创建了带有“.map.ninux.org”域的 cookie，出于某种原因，该 cookie 对 static.map.niux.org 也有效。

我该如何解决这个问题？

PS：这段代码正确吗？

有了这个我仍然得到主机“.map.niux.org”的cookies

我有一个 Symfony 应用程序，它使用 mysql 数据库来存储会话数据，并使用 SfGuard 插件来管理身份验证。尽管 symfony 总是将身份验证信息保存在 cookie 中。无论如何我可以禁用cookie并将身份验证信息存储在数据库或内存中吗？将来我可能需要一种单点登录功能，其中身份验证状态将在不同域中的多个应用程序之间持续存在。这就是为什么我主要想消除使用 cookie 的需要。

谢谢您的帮助。

我想将我的环境配置为从 static.example.com 而不是 example.com/static 提供 css 和 javascript 文件。

第二个方便我可以编写我的html页面来加载css和javascript文件，例如独立于实际域的“static/reset.css”。

是否有一种好的做法可以避免在更改时更改所有源文件

static.example.com 到 static.otherexample.com

因为我必须重写所有导入css和javascript的HTML源文件？