[英]Setting cross-domain cookies in Safari
Evernote的书签能够做到这一点,因此即使赏金将以非生产性的方式进行,最受欢迎的答案也不会回答这个问题。
我必须从域B.com调用域A.com(使用http设置cookie)。 我在域B.com上所做的就是(javascript):
var head = document.getElementsByTagName("head")[0];
var script = document.createElement("script");
script.src = "A.com/setCookie?cache=1231213123";
head.appendChild(script);
这会在我测试的每个浏览器上为A.com设置cookie,但Safari除外。 令人惊讶的是,即使没有P3P标头,这也适用于IE6。
有没有办法在Safari中使这项工作?
Safari附带了保守的cookie策略,该策略将cookie写入仅限于用户选择(“导航到”)的页面。 此默认保守策略可能会混淆尝试写入cookie并失败的基于帧的站点。
我发现无法解决这个问题。
如果它有价值,Chrome会在您使用<script
>附加方法时设置Cookie,但如果您有隐藏的<img
>具有相同的来源,那么除了其他浏览器之外,Chrome还会工作(除了,再次,Safari)
假设他们安装了闪存,有一个邪恶的技巧。
我不确定它是否仍然有效,但Flash'es“Local Shared Objects”又名Flash Cookies可以帮助您绕过Safari的同域策略。
然而,至少可以说,实施起来可能很复杂。
另外,LSO正在成为安全噩梦:
所以在使用之前要仔细考虑。
这项工作在2015年有一个适当的解决方法。假设网站y.com包含iframe与网站x.com。 x.com iframe想要存储cookie。 Safari政策不允许这样做,但y.com能够存储它。 所以y.com必须收听来自x.com的消息,然后存储cookie本身。
var _cookieEvMth = window.addEventListener ? "addEventListener" : "attachEvent";
var _cookieEvAction = window[_cookieEvMth];
var _cookieEv = _cookieEvMth == "attachEvent" ? "onmessage" : "message";
_cookieEvAction(_cookieEv, function(evt){
if(evt.data.indexOf('cookieset')!=-1){
var datack = evt.data.split('|');
YOUR_CUSTOM_COOKIE_SAVE_METHOD(datack[1],datack[2],datack[3]);
}
},false);
当x.com需要存储cookie时,它必须向y.com发送消息:
window.parent.postMessage('cookieset|'+ckName+'|'+ckVal+'|'+days,'*');
如果您想要阅读cookie,您也可以按照自己的方式将消息发布到iframe。 或者您可以使用javascript将其作为参数包含在x.com iframe网址中:
iframe.setAttribute('url','x.com/?cookieval='+YOUR_COOKIE_GET_METHOD('cookiename'));
隐藏<iframe>
帖子可以让你在Safari中绕过这个限制 - http://gist.github.com/586182 :
<?php
header('P3P: CP=HONK');
setcookie('test_cookie', '1', 0, '/');
?>
<div id="test_cookie" style="position: absolute; top: -10000px"></div>
<script>
window.setTimeout(function() {
if (document.cookie.indexOf('test_cookie=1') < 0) {
var
name = 'test_cookie',
div = document.getElementById(name),
iframe = document.createElement('iframe'),
form = document.createElement('form');
iframe.name = name;
iframe.src = 'javascript:false';
div.appendChild(iframe);
form.action = location.toString();
form.method = 'POST';
form.target = name;
div.appendChild(form);
form.submit();
}
}, 10);
</script>
我知道这个问题相当陈旧,但这有助于我解决cookie问题:
var cookieForm = document.createElement("form");
cookieForm.action = "A.com/setCookie?cache=1231213123";
cookieForm.method = "post";
document.body.appendChild(cookieForm);
cookieForm.submit();
在设置Cookie的页面上发布表单的想法。
我们刚刚在我的工作中提出的解决方法是通过window.open()设置cookie - 它可能不适合你(因为你将打开一个丑陋的弹出窗口),但它对我们来说效果很好。 我们必须打开一个弹出窗口进行OAuth身份验证。
所以我们所做的是:
同样,在所有解决方案中都无效,但它在我们的工作中有效。 希望这可以帮助。
* 编辑 *此报告已在WebKit中报告已关闭。
卢卡,
好的,所以这个答案已经有两年了,但是......如果你把表格发布到隐藏的iframe,你可以从iframe设置一个cookie。 您可以通过创建表单来完成此操作:
<form id="myiframe" action="http://yourdomain.com" method="POST" target="iframe_target">
然后在Javascript中,获取对表单的引用并调用submit:
document.getElementsByTagName('form')[0].submit();
您可以收听iframe的onload,也可以让iframe操作页面发出一些表示负载的javascript。 我已经在Safari和Chrome中对此进行了测试,它确实有效。
干杯。
这可能对每个人都不起作用,但我遇到了这个问题,因为我从不同于API的主机提供React应用程序,最终有效的解决方案是使用DNS:
我们的客户来自www.company-name.com,我们的API位于company-name.herokuapp.com。 通过制作CNAME记录api.company-name.com - > company-name.herokuapp.com,并让我们的客户端使用该子域进行API调用,Safari停止将其视为“第三方”cookie。
好处是所涉及的代码非常少,并且它都使用了成熟的东西...缺点是如果你打算使用https,你需要对API主机有一些控制/所有权 - 他们需要一个有效的证书对于客户端域,或者用户将获得证书警告 - 因此如果所涉及的API不是您的或合作伙伴的话,这将不起作用(至少不适用于面向最终用户的事情)。
注意这一行:
script.src = "A.com/setCookie?cache=1231213123";
在我添加http之前,我无法正常工作,即
script.src = "http://A.com/setCookie?cache=1231213123";
我找到了一个简单的解决方 您只需要第一次设置cookie来检查请求是否来自同一来源,如果不像往常一样,您需要返回iframe一个将重复此请求的脚本,已经拥有分配cookie的权限。 之后,您可以直接通过iframe访问此cookie来执行其他请求。 这有助于我的跟踪系统。 试试,这很好用。
也许是实际创建并单击带有href="A.com/setCookie?cache=1231213123"
的链接和指向隐藏iframe的目标属性。 这可能会绕过Safari的用户导航策略来设置cookie(我没有Safari方便测试。)
值得注意的是,Safari中的这种限制并不适用于子域。 因此,如果您直接访问sitea.com,则可以在不直接用户交互(iframe / JavaScript)的情况下从subdomain.sitea.com设置cookie。
在开发API时,这与我的情况相关。 如果您的访问者到达mysite.com,然后您想要一些JavaScript与您的API进行交互,那么如果API在api.mysite.com上托管,那么它将在Safari上运行。
当我尝试部署使用Windows Live ID的网站时,我对此进行了一些广泛的调查,这取决于能够设置第三方cookie以便注销。 它只是......没有用。 我们所做的一切都无法让它发挥作用。 Live ID团队也进行了广泛的调查,他们的答案是“无法使其发挥作用”。
将此JavaScript放在发出跨域请求的网页上, http : //example1.com/index.html :
<script>
var gup = function(name, url) {
if(!url) url = location.href;
name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");
var regexS = "[\\?&]"+name+"=([^&#]*)";
var regex = new RegExp( regexS );
var results = regex.exec( url );
return results == null ? null : results[1];
}
var isSafari = navigator.vendor && navigator.vendor.indexOf('Apple') > -1 && navigator.userAgent && !navigator.userAgent.match('CriOS');
var n = gup("activated");
if(isSafari && n == null) {
//browser is Safari and cookies have not yet been activated
var current_url = location.protocol + '//' + location.host + location.pathname;
var query_string = '?callback=' + encodeURIComponent(current_url + '?activated=1');
var new_url = 'http://example2.com/activate.php' + query_string;
window.location.href = new_url;
}
//the rest of your code goes here, and you can now set cross-domain cookies on Safari
</script>
然后在另一台服务器上创建一个文件,需要设置cookie, http : //example2.com/activate.php :
<?php
if(isset($_GET['callback'])) {
header('Location: '.$_GET['callback']);
exit();
} else {
//in case callback param is not set, simply go back to previous page
echo "<script>";
echo "window.history.back();";
echo "</script>";
exit();
}
?>
这是如何工作的:
首次访问http://example1.com/index.html时 ,会检查浏览器是否为Safari,以及名称“已激活”的GET参数是否不存在。 如果满足这两个条件(这将在首次访问Safari浏览器时发生),则浏览器将重定向到http://example2.com/activate.php,其中包含GET参数“callback”,其中包含附加的调用URL带有“激活”参数。
http://example2.com/activate.php只是重定向回GET参数“回调”中包含的URL。
当http://example1.index.html现在在被重定向到第二次后被点击时,现在将设置GET参数“激活”,因此步骤1中的条件将不会执行,从而允许脚本继续执行。
这满足了Safari要求浏览器至少访问第三方域名以便开始设置cookie的要求。
尝试类似的东西:
var w = window.open("A.com/setCookie?cache=1231213123");
w.close();
它可能会绕过safari的安全策略。
这不是缺少的类型属性让你烦恼吗? - )
<script type="text/javascript">
var head = document.getElementsByTagName("head")[0];
var script = document.createElement("script");
script.setAttribute("type","text/javascript");
script.src = "A.com/setCookie?cache=1231213123";
head.appendChild(script);
</script>
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.