PHP 如何操作跨域的COOKIE，不同服务器上-php教程-PHP中文网

首页

后端开发

php教程

PHP 如何操作跨域的COOKIE，不同服务器上

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 08:39 PM

cookiephp

首先是两个不同子域的域名，解析在不同服务器上的，当然目录也不同的。我在进行跨域操作（删除COOKIE）时，失败。无法操作。
我尝试过P3P协议，还是不行，这有办法实现吗？

回复内容：

cookies 定义在 RFC2109 标准。cookies 的大部分操作，由客户端也就是浏览器实现。

cookies 每一个 cookie 代表着一个 key-value 键值对，以及作用范围，和生命周期。

cookie 字段定义

作用范围(Scope): path, domain

生命周期(Life cycle)：也就是cookie的过期时间，expires (GMT,UTC) 时间标准

安全作用域(Security Scope)：HttpOnly, Secure

跨域访问涉及作用范围(Scope), 安全作用域(Security Scope)

如果你不使用 js 操作 Cookie 的话，可以忽略安全作用域(Security Scope)。

以上可能有点抽象，但是你可以打开 chrome 按 F12 -> Resources -> Cookies

可以看到，类似下面这样

PHP 如何操作跨域的COOKIE，不同服务器上

以上都是感念跟废话。重要看下面。

服务端只是 cookie 的接收者和解析者。由浏览器也就是客户端决定是否要将哪些 cookies 发送到到服务端。

而客户端是参考标准实现 RFC2109 的话(基本都是这样)。是根据 cookie 的 path, 和 domain 来发送。

我们假设，我们现在有两个 domain.

oauth2.php123.com
www.php123.com

如果想让客户端将 www.php123.com 下面的 cookie 也发送到 oauth2.php123.com 下面。那么你需要，在 setcookie() 的时候，将 domain 设置成为 php123.com。

<code>php 库函数 setcookie 的定义
bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = false ]]]]]] )
</code>

来个实在点的例子吧。

<code>php</code><code>// oauth.php123.com/cookie.php
<?php setcookie("foo1", "bar1", time() + 3600, "/", "php123.com")
    setcookie("foo2", "bar1", time() + 3600) //domain 默认使用，当前domain。
    setcookie("foo3", "bar3", time() + 3600, "/", "www.php123.com")
</code></code>

<code>php</code><code>// www.php123.com/cookie.php
<?php print_r($_COOKIE)

// output  array( 'foo1' => 'bar1', 'foo3'=> 'bar3' )

// 没有拿到 ['foo2' => 'bar2']，那是因为客户端只需将 domain 为`php123.com`,`www.php123.com`的 cookie 发送到 www.php123.com 这个域上。所以 cookie.php 只拿到了该拿到的两个 cookie。
</code>

以上代码可以很好的解释 cookie 的工作方式。理解好 cookie 的工作及机制可以实现很多高级功能。比如分布式的 session 共享。

反之亦然，自己去领悟吧。

1、楼上给出了子域名下的解决方案。很简单，在每次调用时，指定cookie的域为子域名。完全可以采用此方案。
http://stackoverflow.com/questions/22029530/sessions-cookies-shared-on-subdomains/22030121#22030121

2、P3P协议。是解决cookie跨域时的方案。a站生成cookie，b站删除a站cookie。
b站加js跨域：

<code><?php echo '<script src="http//www.a.com/delete-site-a-cookie.php?cookie_name=test">';
</code>

a站接收参数，执行删除

<code><?php //filter_cookie_name();
setcookie($cookie_name, '', time()-3600, '/');
</code></code>

但是，ie下会失效。。。原因么事浏览器安全策略的问题了，所以就得用到p3p.在删除前，加上协议：

<code><?php header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');

//filter_cookie_name();
setcookie();
</code></code>

现在，你再看看。。

跨域跟PHP 没关系，cookie是通过请求头传递的，PHP 收到了请求必然能得到cookie

如果是www.a.com,和www.b.com, 是没有办法实现跨域操作的，可以用变通的方法，比如jsonp等来解决。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

您应该多久再生一次会话ID？Apr 23, 2025 am 12:03 AM

会话ID应在登录时、敏感操作前和每30分钟定期重新生成。1.登录时重新生成会话ID可防会话固定攻击。2.敏感操作前重新生成提高安全性。3.定期重新生成降低长期利用风险，但需权衡用户体验。

如何在PHP中设置会话cookie参数？Apr 22, 2025 pm 05:33 PM

在PHP中设置会话cookie参数可以通过session_set_cookie_params()函数实现。1)使用该函数设置参数，如过期时间、路径、域名、安全标志等；2)调用session_start()使参数生效；3)根据需求动态调整参数，如用户登录状态；4)注意设置secure和httponly标志以提升安全性。