從一個域重定向到另一個域並為另一個域設定Cookie 或標頭
挑戰
使用自訂標頭從一個網域重定向到另一個域由於HTTP 協定限制,無法在回應中設定cookie 或cookie。重定向本質上由與回應關聯的標頭(位置)組成,並且不允許將任何標頭添加到目標位置。
也不允許為不同的網域設定 cookie,因為它會構成重大安全風險。瀏覽器使用 Set-Cookie 標頭儲存伺服器傳送的 cookie 和回應,然後將它們傳送回伺服器以向相同網域中的相同伺服器發出請求。 Cookie 不會傳送到不同的網域。
解決方案1:使用目標域上的查詢參數和Cookie 設定進行重定向
一種方法是讓源域將使用者重新導向到目標域作為查詢參數傳遞的存取令牌。然後,目標網域可以讀取令牌並設定自己的 cookie,瀏覽器將儲存該 cookie 並將其發送以供後續請求。
源域(appA.py)
<code class="python">from fastapi import FastAPI, Response
from fastapi.responses import RedirectResponse, HTMLResponse
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
return '''
<h2 id="Click-the-submit-button-to-be-redirected-to-domain-B">Click the "submit" button to be redirected to domain B</h2>
<form method="POST" action="/submit">
<input type="submit" value="Submit">
</form>
'''
@app.post('/submit')
def submit():
token = 'MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3'
redirect_url = f'http://example.test:8001/submit?token={token}'
response = RedirectResponse(redirect_url)
response.set_cookie(key='access-token', value=token, httponly=True)
return response</code> 目標域(appB.py)
<code class="python">from fastapi import FastAPI, Request, status
from fastapi.responses import RedirectResponse, HTMLResponse
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
token = request.cookies.get('access-token')
print(token)
return 'You have been successfully redirected to domain B!' \
f' Your access token ends with: {token[-4:]}'
@app.post('/submit')
def submit(request: Request, token: str):
redirect_url = request.url_for('home')
response = RedirectResponse(redirect_url, status_code=status.HTTP_303_SEE_OTHER)
response.set_cookie(key='access-token', value=token, httponly=True)
return response</code>目標域(appB.py)
<code class="python">from fastapi import FastAPI, Response
from fastapi.responses import HTMLResponse
app = FastAPI()
@app.get('/', response_class=HTMLResponse)
def home():
return '''
<h2 id="Click-the-submit-button-to-be-redirected-to-domain-B">Click the "submit" button to be redirected to domain B</h2>
<input type="button" value="Submit" onclick="submit()">
<script>
function submit() {
fetch('/submit', {
method: 'POST',
})
.then(res => {
authHeader = res.headers.get('Authorization');
if (authHeader.startsWith("Bearer "))
token = authHeader.substring(7, authHeader.length);
return res.text();
})
.then(data => {
var url = 'http://example.test:8001/submit?token=' + encodeURIComponent(token);
var img = document.createElement('img');
img.style = 'display:none';
img.crossOrigin = 'use-credentials';
img.onerror = function(){
window.location.href = 'http://example.test:8001/';
}
img.src = url;
})
.catch(error => {
console.error(error);
});
}
</script>
'''
@app.post('/submit')
def submit():
token = 'MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3'
headers = {'Authorization': f'Bearer {token}'}
response = Response('success', headers=headers)
response.set_cookie(key='access-token', value=token, httponly=True)
return response</code>
另一種方法涉及使用 Window. postMessage() 用於跨來源通訊。源域將令牌傳送到目標網域,目標網域將其儲存在 localStorage 中並設定 cookie。缺點包括瀏覽器相容性和敏感資料儲存在 localStorage 中。
<code class="python">from fastapi import FastAPI, Request, Response
from fastapi.responses import RedirectResponse
from fastapi.middleware.cors import CORSMiddleware
app = FastAPI()
origins = ['http://localhost:8000', 'http://127.0.0.1:8000',
'https://localhost:8000', 'https://127.0.0.1:8000']
app.add_middleware(
CORSMiddleware,
allow_origins=origins,
allow_credentials=True,
allow_methods=["*"],
allow_headers=["*"],
)
@app.get('/')
def home(request: Request):
token = request.cookies.get('access-token')
print(token)
return 'You have been successfully redirected to domain B!' \
f' Your access token ends with: {token[-4:]}'
@app.get('/submit')
def submit(request: Request, token: str):
response = Response('success')
response.set_cookie(key='access-token', value=token, samesite='none', secure=True, httponly=True)
return response</code>解決方案 3:StackExchange 通用登入方法StackExchange 使用更強大的解決方案在不同網站之間自動登入。它涉及透過圖像的 src 屬性發送身份驗證令牌,這會觸發伺服器回應並在目標網站上設定 cookie。 這需要瀏覽器接受第三方 cookie 和目標伺服器上的 CORS 設定。它還會在查詢字串中發送令牌,帶來潛在的安全風險。 源域(appA.py)目標域(appB) .py)目標域(appB) .py)安全注意事項在網域之間傳送令牌或設定cookie時,考慮安全影響至關重要。避免在查詢字串中發送敏感數據,因為它可能會被攔截或洩露。使用 HTTPS 連線進行安全資料傳輸。將 SameSite 標誌設為“無”,並使用安全標誌來保護跨站點訪問。 以上是如何在 HTTP 網域之間使用 Cookie 和標頭進行重新導向?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
Python vs. C:了解關鍵差異Apr 21, 2025 am 12:18 AMPython和C 各有優勢,選擇應基於項目需求。 1)Python適合快速開發和數據處理,因其簡潔語法和動態類型。 2)C 適用於高性能和系統編程,因其靜態類型和手動內存管理。
Python vs.C:您的項目選擇哪種語言?Apr 21, 2025 am 12:17 AM選擇Python還是C 取決於項目需求:1)如果需要快速開發、數據處理和原型設計,選擇Python;2)如果需要高性能、低延遲和接近硬件的控制,選擇C 。
達到python目標:每天2小時的力量Apr 20, 2025 am 12:21 AM通過每天投入2小時的Python學習,可以有效提升編程技能。 1.學習新知識:閱讀文檔或觀看教程。 2.實踐:編寫代碼和完成練習。 3.複習:鞏固所學內容。 4.項目實踐:應用所學於實際項目中。這樣的結構化學習計劃能幫助你係統掌握Python並實現職業目標。
最大化2小時:有效的Python學習策略Apr 20, 2025 am 12:20 AM在兩小時內高效學習Python的方法包括:1.回顧基礎知識,確保熟悉Python的安裝和基本語法;2.理解Python的核心概念,如變量、列表、函數等;3.通過使用示例掌握基本和高級用法;4.學習常見錯誤與調試技巧;5.應用性能優化與最佳實踐,如使用列表推導式和遵循PEP8風格指南。
在Python和C之間進行選擇:適合您的語言Apr 20, 2025 am 12:20 AMPython適合初學者和數據科學,C 適用於系統編程和遊戲開發。 1.Python簡潔易用,適用於數據科學和Web開發。 2.C 提供高性能和控制力,適用於遊戲開發和系統編程。選擇應基於項目需求和個人興趣。
Python與C:編程語言的比較分析Apr 20, 2025 am 12:14 AMPython更適合數據科學和快速開發,C 更適合高性能和系統編程。 1.Python語法簡潔,易於學習,適用於數據處理和科學計算。 2.C 語法複雜,但性能優越,常用於遊戲開發和系統編程。
每天2小時:Python學習的潛力Apr 20, 2025 am 12:14 AM每天投入兩小時學習Python是可行的。 1.學習新知識:用一小時學習新概念,如列表和字典。 2.實踐和練習:用一小時進行編程練習,如編寫小程序。通過合理規劃和堅持不懈,你可以在短時間內掌握Python的核心概念。
Python與C:學習曲線和易用性Apr 19, 2025 am 12:20 AMPython更易學且易用,C 則更強大但複雜。 1.Python語法簡潔,適合初學者,動態類型和自動內存管理使其易用,但可能導致運行時錯誤。 2.C 提供低級控制和高級特性,適合高性能應用,但學習門檻高,需手動管理內存和類型安全。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
Atom編輯器mac版下載
最受歡迎的的開源編輯器
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
