あるドメインから別のドメインへのリダイレクトと、他のドメインの Cookie またはヘッダーの設定
課題
カスタム ヘッダーを使用したあるドメインから別のドメインへのリダイレクトまたは、HTTP プロトコルの制限により、応答に設定された Cookie は使用できません。リダイレクトは基本的に応答に関連付けられたヘッダー (場所) で構成され、ターゲットの場所にヘッダーを追加することは許可されません。
異なるドメインに Cookie を設定することも許可されません。重大なセキュリティリスクを引き起こします。ブラウザは、Set-Cookie ヘッダーを使用した応答とともにサーバーから送信された Cookie を保存し、その後、同じドメイン内の同じサーバーに対して行われたリクエストに対して、Cookie をサーバーに送り返します。 Cookie は別のドメインには送信されません。
解決策 1: ターゲット ドメインのクエリ パラメータと Cookie 設定を使用してリダイレクトする
1 つの方法は、ソース ドメインでユーザーをターゲット ドメインにリダイレクトすることです。クエリパラメータとして渡されるアクセストークン。その後、ターゲット ドメインはトークンを読み取り、独自の Cookie を設定できます。ブラウザはそれを保存し、後続のリクエストのために送信します。
ソース ドメイン (appA.py)
<code class="python">from fastapi import FastAPI, Response
from fastapi.responses import RedirectResponse, HTMLResponse
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
return '''
<h2 id="Click-the-submit-button-to-be-redirected-to-domain-B">Click the "submit" button to be redirected to domain B</h2>
<form method="POST" action="/submit">
<input type="submit" value="Submit">
</form>
'''
@app.post('/submit')
def submit():
token = 'MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3'
redirect_url = f'http://example.test:8001/submit?token={token}'
response = RedirectResponse(redirect_url)
response.set_cookie(key='access-token', value=token, httponly=True)
return response</code> ターゲット ドメイン (appB.py)
<code class="python">from fastapi import FastAPI, Request, status
from fastapi.responses import RedirectResponse, HTMLResponse
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
token = request.cookies.get('access-token')
print(token)
return 'You have been successfully redirected to domain B!' \
f' Your access token ends with: {token[-4:]}'
@app.post('/submit')
def submit(request: Request, token: str):
redirect_url = request.url_for('home')
response = RedirectResponse(redirect_url, status_code=status.HTTP_303_SEE_OTHER)
response.set_cookie(key='access-token', value=token, httponly=True)
return response</code>
解決策 2: Window.postMessage() を使用したクロスオリジン通信
もう 1 つのアプローチには、Window の使用が含まれます。 postMessage() クロスオリジン通信用。ソース ドメインはトークンをターゲット ドメインに送信し、ターゲット ドメインはそれを localStorage に保存し、Cookie を設定します。欠点としては、ブラウザーの互換性と機密データの localStorage への保存が挙げられます。
解決策 3: StackExchange ユニバーサル ログイン アプローチ
StackExchange では、異なるサイト間の自動ログインのために、より堅牢なソリューションが使用されます。これには、画像の src 属性を介して認証トークンを送信することが含まれます。これにより、サーバー応答がトリガーされ、ターゲット サイトに Cookie が設定されます。
これには、ブラウザーによるサードパーティ Cookie の受け入れと、ターゲット サーバーでの CORS 構成が必要です。また、クエリ文字列でトークンを送信するため、潜在的なセキュリティ リスクが生じます。
ソース ドメイン (appA.py)
<code class="python">from fastapi import FastAPI, Response
from fastapi.responses import HTMLResponse
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
return '''
<h2 id="Click-the-submit-button-to-be-redirected-to-domain-B">Click the "submit" button to be redirected to domain B</h2>
<input type="button" value="Submit" onclick="submit()">
<script>
function submit() {
fetch('/submit', {
method: 'POST',
})
.then(res => {
authHeader = res.headers.get('Authorization');
if (authHeader.startsWith("Bearer "))
token = authHeader.substring(7, authHeader.length);
return res.text();
})
.then(data => {
var url = 'http://example.test:8001/submit?token=' + encodeURIComponent(token);
var img = document.createElement('img');
img.style = 'display:none';
img.crossOrigin = 'use-credentials';
img.onerror = function(){
window.location.href = 'http://example.test:8001/';
}
img.src = url;
})
.catch(error => {
console.error(error);
});
}
</script>
'''
@app.post('/submit')
def submit():
token = 'MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3'
headers = {'Authorization': f'Bearer {token}'}
response = Response('success', headers=headers)
response.set_cookie(key='access-token', value=token, httponly=True)
return response</code>
ターゲット ドメイン (appB) .py)
<code class="python">from fastapi import FastAPI, Request, Response
from fastapi.responses import RedirectResponse
from fastapi.middleware.cors import CORSMiddleware
app = FastAPI()
origins = ['http://localhost:8000', 'http://127.0.0.1:8000',
'https://localhost:8000', 'https://127.0.0.1:8000']
app.add_middleware(
CORSMiddleware,
allow_origins=origins,
allow_credentials=True,
allow_methods=["*"],
allow_headers=["*"],
)
@app.get('/')
def home(request: Request):
token = request.cookies.get('access-token')
print(token)
return 'You have been successfully redirected to domain B!' \
f' Your access token ends with: {token[-4:]}'
@app.get('/submit')
def submit(request: Request, token: str):
response = Response('success')
response.set_cookie(key='access-token', value=token, samesite='none', secure=True, httponly=True)
return response</code>
セキュリティに関する考慮事項
ドメイン間でトークンを転送したり Cookie を設定したりする場合、セキュリティへの影響を考慮することが重要です。傍受または侵害される可能性があるため、クエリ文字列で機密データを送信しないでください。安全なデータ転送には HTTPS 接続を使用します。クロスサイト アクセス保護のために、SameSite フラグを「None」に設定し、Secure フラグを設定します。
以上がHTTP でドメイン間で Cookie とヘッダーを使用してリダイレクトするにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
Pythonの融合リスト:適切な方法を選択しますMay 14, 2025 am 12:11 AMTomergelistsinpython、あなたはオペレーター、extendmethod、listcomfulting、olitertools.chain、それぞれの特異的advantages:1)operatorissimplebutlessforlargelist;
Python 3の2つのリストを連結する方法は?May 14, 2025 am 12:09 AMPython 3では、2つのリストをさまざまな方法で接続できます。1)小さなリストに適したオペレーターを使用しますが、大きなリストには非効率的です。 2)メモリ効率が高い大規模なリストに適した拡張方法を使用しますが、元のリストは変更されます。 3)元のリストを変更せずに、複数のリストをマージするのに適した *オペレーターを使用します。 4)Itertools.chainを使用します。これは、メモリ効率が高い大きなデータセットに適しています。
Python Concatenateリスト文字列May 14, 2025 am 12:08 AMJoin()メソッドを使用することは、Pythonのリストから文字列を接続する最も効率的な方法です。 1)join()メソッドを使用して、効率的で読みやすくなります。 2)サイクルは、大きなリストに演算子を非効率的に使用します。 3)リスト理解とJoin()の組み合わせは、変換が必要なシナリオに適しています。 4)redoce()メソッドは、他のタイプの削減に適していますが、文字列の連結には非効率的です。完全な文は終了します。
Pythonの実行、それは何ですか?May 14, 2025 am 12:06 AMpythonexexecutionistheprocessoftransforningpythoncodeintoexecutabletructions.1)interpreterreadSthecode、変換intobytecode、thepythonvirtualmachine(pvm)executes.2)theglobalinterpreeterlock(gil)管理委員会、
Python:重要な機能は何ですかMay 14, 2025 am 12:02 AMPythonの主な機能には次のものがあります。1。構文は簡潔で理解しやすく、初心者に適しています。 2。動的タイプシステム、開発速度の向上。 3。複数のタスクをサポートするリッチ標準ライブラリ。 4.強力なコミュニティとエコシステム、広範なサポートを提供する。 5。スクリプトと迅速なプロトタイピングに適した解釈。 6.さまざまなプログラミングスタイルに適したマルチパラダイムサポート。
Python:コンパイラまたはインタープリター?May 13, 2025 am 12:10 AMPythonは解釈された言語ですが、コンパイルプロセスも含まれています。 1)Pythonコードは最初にBytecodeにコンパイルされます。 2)ByteCodeは、Python Virtual Machineによって解釈および実行されます。 3)このハイブリッドメカニズムにより、Pythonは柔軟で効率的になりますが、完全にコンパイルされた言語ほど高速ではありません。
ループvs whileループ用のpython:いつ使用するか?May 13, 2025 am 12:07 AMuseaforloopwhenteratingoverasequenceor foraspificnumberoftimes; useawhileloopwhentinuninguntinuntilaConditionismet.forloopsareidealforknownownownownownownoptinuptinuptinuptinuptinutionsituations whileoopsuitsituations withinterminedationations。
Pythonループ:最も一般的なエラーMay 13, 2025 am 12:07 AMpythonloopscanleadtoErrorslikeinfiniteloops、ModifiningListsDuringiteration、Off-Oneerrors、Zero-dexingissues、およびNestededLoopinefficiencies.toavoidhese:1)use'i
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
Safe Exam Browser
Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。
ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
SublimeText3 中国語版
中国語版、とても使いやすい
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
