关闭httponly引起的问题

场景1

测试A:咦,为什么test环境登录不了呢?

程序员:清缓存。

测试B:握草,dev也登录不了。。。谁看看!

程序员:清缓存。

测试们:。。。唉

场景2

程序员A:我靠,TNND,真的登录不了,怎么回事?

程序员B:可能还是要请缓存。

程序员A:没用。

程序员B:我看看吧。

一阵捣鼓后,呀,cookie中怎么会有两个sessionID呢?

这件事情的起因是这样的,前端工程师需要拿取后台管理员的cookie,用牛叉的控制台就可以看到:document.cookie,结果没有取到,再看看cookie管理器,显示是httponly为true,即开启了path=/;httponly,这个是yii2防止XSS攻击所设置的。

但是,前端工程师需要这个cookie信息,所以配置中开启了session的cookieParams参数。

'session' => [
    'class' => 'yii\redis\Session',
    'redis' => 'redis3',
    'name' => 'SID',
    'useCookies' => true,
    'cookieParams' => [
        'domain' => '.xxx.com',
        'httpOnly' => false,
    ],
],

这样就可以获取到cookie中保存的sessionID了,感觉没有任何问题。

可是,我们的域名有:admin-test.xxx.com,admin-dev.xxx.com,admin.xxx.com,这三个域名仅仅是不同的环境,因此,yii2的跨域名访问就引出来了。

那么上面问题如何解决呢?很简单,domain这个参数默认是当前的域名,如果只允许当前域名登录访问,使用默认即可。

'session' => [
    'class' => 'yii\redis\Session',
    'redis' => 'redis3',
    'name' => 'SID',
    'useCookies' => true,
    'cookieParams' => [
        'httpOnly' => false,
    ],
],

看到网上大致有很多这样的做法:

'user' => [
    'class' => '\backend\extensions\Admin',
    'identityClass' => '\backend\models\Admin',
    'enableAutoLogin' => false,
    'enableSession' => true,
    'loginUrl' => ['admin/login'],
    'identityCookie' => ['httpOnly' => false, 'domain' => '.xxx.com'],
],

也就是把用户的cookie中的httphttponly关闭,并且指定具体的域名,最燃这样做了,但还是不能关闭客户端的cookie的httponly,依然获取不到cookie的值,建议这里的httponly一定为true。

附加:处理session跨域几种的方案

前面谈过session相关配置,在开发的时候,常需要跨域共用session的是登录模块,我相信很多开发的朋友的都遇到过,只需要一个地方登录,相关联的网站也是处于登录状态。两种情况:一种9streets.cn和a.9streets.cn之间,另一种是a.com b.com之间,这几天总结了一下处理方法。

无论是一二级域名,和不同域名下的跨域,无非要达到两点:

客户端访问同一个sessionId,所有域名对应的服务器访问的session的数据的位置必须一致。

  • 1.访问共同的sessionId主要是通过把当前的sessionId写进cookie里面cookie在不同域名下是不能访问的,我们需要在访问在后台设置用户在登录的时候,把需要共用的登录信息的域名,如果是在1,2级域名下,直接把cookie设置为所属主域名,例如:

setcookie("session_id",session_id(),time()+3600*24*365*10,"/",".a.com"); 

也许你会问:如果是在不同的域名呢?采用P3P技术简单解决,实现原理,在访问网站x.com的时候,y.com程序触发y.com文件的写入sessionid值,sessionid值便可以获取,然后把seesion值存入数据库,取相同的sessionid值便可。这就要求y.com里面的程序文件必需能跨域访问,默认情况下,浏览器是不能跨域设置cookie的,加上p3p头后才行。在对应php文件加上:header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');

  • 2.session数据存储位置一致的实现方法

session该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在,而非存储在服务器的内存中,在这里我们得修改为所有域下都能访问的方式。网上介绍了数据库存储,文件形式存储,内存存储, 如果用数据库存储session数据,网站的访问量很大的话,SESSION 的读写会频繁地对数据库进行操作,效率就会明显降低,可以考虑存在内存服务器来实现,下面的session.rar里面介绍的是数据库存session的实例。

yii2中如何实现呢?

main.php中应该这般配置(同一套环境不会出现前面所说的问题,但是不同环境还会出现):

'user' => [
    'class' => '\backend\extensions\Admin',
    'identityClass' => '\backend\models\Admin',
    'enableAutoLogin' => false,
    'enableSession' => true,
    'loginUrl' => ['admin/login'],
    'identityCookie' => ['name' => '_identity', 'httpOnly' => true, 'domain' => '.xxx.com'],
],
'session' => [
    'class' => 'yii\redis\Session',
    'redis' => 'redis3',
    'name' => 'SID',
    'useCookies' => true,
    'cookieParams' => [
        'httpOnly' => false,
        'domain' => '.xxx.com', 'lifetime' => 0
    ],
],

Joyven
630 声望34 粉丝

不学无(用之)术,不安于现状,总想鼓捣点什么,或者总想尝试一些什么新鲜事物。