2. 程式人生 > >thinkphp中session跨域問題

thinkphp中session跨域問題

阿新 發佈:2017-10-03
cto jpg access car ls參數 -c style 使用 應用

問題描述

《thinkphp實現短信驗證註冊》中,小編不止記錄了短信驗證碼的實現方法,同時還記錄了圖片驗證碼的實現方法。
本地使用,一切正常;後端項目和前端項目都部署到服務器,一切正常;後端項目部署到服務器,並設置允許跨域訪問後,本地前端項目使用服務器上後端項目接口時,問題來了:
首先,使用postman測試獲取圖片驗證碼接口和驗證圖片驗證碼接口,正常。
然後,在html中使用獲取圖片驗證碼接口,正常;最後,在JS中使用驗證圖片驗證碼接口,出錯!!!

分析

通過問題描述,我們看出,問題出現在跨域上。那麽,有兩種可能,一種是因為跨域設置不正確;一種是因為thinkphp本身的問題。

采用另外一種跨域配置,問題依然存在。那就是thinkphp本身的問題了,經查找資料,問題定位在thinkphp的session跨域上。

跨子域解決辦法

其實不管是ThinkPHP還是php本身,在解決session跨域問題的時候都需要設置session.cookie_domain。
針對session跨域這一問題的解決方法主要有以下幾種:
第一種情況:如果目錄下沒有.htaccess這個文件,也就是沒有采取url偽靜態的話,那麽,在conf/config.php的第一行加上:

ini_set(‘session.cookie_domain‘,".domain.com");//跨域訪問Session

這時如果你開啟了調試,那麽可以用!但關閉了調試,就不管用了!

第二種情況:如果你目錄下有.htaccess這個文件,那麽你在根目錄,index.php的第一行加入:

<?php ini_set(‘session.cookie_domain‘,".domain.com");//跨域訪問Session
// 應用入口文件
?>

這種方法不管開不開啟調試都管用!

然而,我們的問題並不是跨子域的問題,而是完全跨域,所以上述方法無效。

完全跨域解決辦法

獲取圖片驗證碼請求

查看獲取圖片驗證碼的請求信息,Request Headers為:

Accept:image/webp,image/*,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Cookie:pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; pma_iv-1=wnpO4gv0eQRW1AMHmGr2ww%3D%3D; pmaUser-1=weZPqS0%2BW7nzFUVHRdqcfA%3D%3D
Host:api.voidking.com
Referer:http://localhost/ajax/ajax.html
User-Agent:Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36

Response Headers為:

Access-Control-Allow-Origin:*
Cache-Control:post-check=0, pre-check=0
Cache-Control:private, max-age=0, no-store, no-cache, must-revalidate
Connection:keep-alive
Content-Type:image/png
Date:Sun, 27 Nov 2016 12:10:44 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Pragma:no-cache
Server:nginx
Set-Cookie:PHPSESSID=721t4sqanvsii550m1dk8gq1o3; path=/; domain=.voidking.com
Transfer-Encoding:chunked

驗證驗證碼請求

查看驗證驗證碼的請求信息,Request Headers為:

Accept:application/json, text/javascript, */*; q=0.01
Accept-Encoding:gzip, deflate
Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:9
Content-Type:application/x-www-form-urlencoded; charset=UTF-8
Host:api.voidking.com
Origin:http://localhost
Referer:http://localhost/ajax/ajax.html
User-Agent:Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36

Response Headers為:

Access-Control-Allow-Origin:*
Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection:keep-alive
Content-Encoding:gzip
Content-Type:text/html; charset=UTF-8
Date:Sun, 27 Nov 2016 12:13:21 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Pragma:no-cache
Server:nginx
Set-Cookie:PHPSESSID=149t0hhs2icqaaemvp39onkgp4; path=/; domain=.voidking.com
Transfer-Encoding:chunked
Vary:Accept-Encoding

再次獲取圖片驗證碼請求

Request Headers為:

Accept:image/webp,image/*,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cache-Control:max-age=0
Connection:keep-alive
Cookie:pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; pma_iv-1=wnpO4gv0eQRW1AMHmGr2ww%3D%3D; pmaUser-1=weZPqS0%2BW7nzFUVHRdqcfA%3D%3D; PHPSESSID=721t4sqanvsii550m1dk8gq1o3
Host:api.voidking.com
Referer:http://localhost/ajax/ajax.html
User-Agent:Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36

Response Headers為:

Access-Control-Allow-Origin:*
Cache-Control:private, max-age=0, no-store, no-cache, must-revalidate
Cache-Control:post-check=0, pre-check=0
Connection:keep-alive
Content-Type:image/png
Date:Sun, 27 Nov 2016 13:26:21 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Pragma:no-cache
Server:nginx
Transfer-Encoding:chunked

三次請求比較

 技術分享

第一次獲取圖片驗證碼請求,Cookie中沒有PHPSESSID,所以,返回信息中有Set-Cookie。第二次獲取圖片驗證碼請求,Cookie中含有PHPSESSID,所以,返回信息中沒有了Set-Cookie。而且第一次請求返回信息Set-Cookie中的PHPSESSID,和第二次請求請求信息Cookie中的PHPSESSID是相同的。

而驗證圖片驗證碼的ajax請求,沒有Cookie,自然也沒有PHPSESSID,所以,返回信息中也有Set-Cookie。

可見,我們需要在前端做一些修改,使之發送請求時帶著Cookie。

前端jquery設置

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <title>jquery</title>
</head>
<body>
    <p>
        <img src="http://api.voidking.com/owner-bd/index.php/Home/CheckCode/getPicCode" alt="">
        <input type="text" id="picCode">
        <input type="button" id="send" value="驗證">
    </p>
<script src="http://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js"></script>
<script>
    $(function(){
        $(‘#send‘).click(function(){
            //console.log(document.cookie);
            $.ajax({
                url: ‘http://api.voidking.com/owner-bd/index.php/Home/CheckCode/checkPicCode‘,
                type: ‘POST‘,
                crossDomain: true,
                xhrFields: {
                    withCredentials: true
                },
                dataType: ‘json‘,
                data: {code: $(‘#picCode‘).val()},
                success: function(data){
                    console.log(data);
                },
                error: function(xhr){
                    console.log(xhr);
                }
            });
        });
    });
</script>
</body>
</html>

請求時報錯如下:

A wildcard ‘*‘ cannot be used in the ‘Access-Control-Allow-Origin‘ header when the credentials flag is true. Origin ‘http://localhost‘ is therefore not allowed access. The credentials mode of an XMLHttpRequest is controlled by the withCredentials attribute.

出現了跨域報錯,可見後端也需要做一些修改,使之可以接收跨域Cookie。

後端nginx設置

add_header Access-Control-Allow-Origin http://localhost;
add_header Access-Control-Allow-Credentials true;

註意:
服務器端Access-Control-Allow-Credentials參數為true時,Access-Control-Allow-Origin參數的值不能為*。

後端nginx設置後,jquery的ajax請求正常了,可以攜帶Cookie,後端正常接收數據並返回數據。

由於angular的ajax請求不同於jquery,所以,我們還需要研究一下angular怎麽發送攜帶Cookie的跨域請求。

前端angular設置

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>angular</title>
    <script src="http://cdn.static.runoob.com/libs/angular.js/1.4.6/angular.min.js"></script>
</head>
<body ng-app="myApp" >
    <p ng-controller="myCtrl">
        <img src="http://api.voidking.com/owner-bd/index.php/Home/CheckCode/getPicCode" alt="">
        <input type="text" id="picCode" ng-model="picCode">
        <input type="button" ng-click="send()"  value="驗證">
    </p>
<script>
    var app = angular.module(‘myApp‘, []);
    app.controller(‘myCtrl‘, function($scope, $http, $httpParamSerializer) {
        $scope.send = function(){
            $http({
                method:‘POST‘,
                url:‘http://api.voidking.com/owner-bd/index.php/Home/CheckCode/checkPicCode‘,
                headers:{
                    ‘Content-Type‘:‘application/x-www-form-urlencoded‘
                },
                withCredentials: true,
                dataType: ‘json‘,
                data: $httpParamSerializer({code: $scope.picCode})
            }).then(function successCallback(response) {
                console.log(response.data);
                $scope.username = response.data.username;
            }, function errorCallback(response) {
                console.log(response.data);
            });
        }
    });
</script>

</body>
</html>

後記

至此,大功告成,session跨域問題完美解決。

來源: https://segmentfault.com/a/1190000007687125

thinkphp中session跨域問題

相關推薦

thinkphpsession問題

cto jpg access car ls參數 -c style 使用 應用 問題描述 《thinkphp實現短信驗證註冊》中,小編不止記錄了短信驗證碼的實現方法,同時還記錄了圖片驗證碼的實現方法。本地使用,一切正常;後端項目和前端項目都部署到服務器,一切正常;後端項目部署

ThinkPHP域名共享session

經過一段時間的研究,終於取得突破 兩個網站: think.local think2.local 主要原理是: 1、通過在think.local執行js指令碼,訪問think2.local的介面,將cookie的PHPSESSID傳遞過去 2、修改think2.local的c

請教大家一個關於thinkPHP session問題

thinkPHP中我有兩個模組:Home和WAP兩個,同時設定了域名:www.domain.com和wap.domain.com,現在我想在wap模組獲取Home下的session,可是無論我怎麼設定都獲取不了。ini_set也不行。網上查的也沒有搞定。請問是什麼問題?謝謝大

java Web 開發 IE IFRAME session 失效 p3p 解決

網站頁面中 用 Iframe 巢狀站點 被巢狀的網站 session 會失效 後臺獲取不到 sessionID 解決方案: 在JSP頁面中 頭部新增 紅色部分的程式碼 就OK了 <%@ page language="java" contentType="text/

IEiframeSession丟失問題

IE6/IE7支援的P3P(Platform for Privacy Preferences Project (P3P) specification)協議預設阻止第三方無隱私安全宣告的cookie,Firefox目前還不支援P3P安全特性,firefox中自然也不存在此

vue解決問題

.json plugin plugins nco pos pat class 上線 created 方法1.後臺更改header header(‘Access-Control-Allow-Origin:*‘);//允許所有來源訪問 header(‘Access-C

angularjs關於設置白名單

sid ams pan color tps onf eth .net 註入 在config中註入$sceDelegateProvider服務使用resourceUrlWhitelist([])方法添加白名單 跨域時將method的屬性設置為"jsonp"就可以訪問

使用Spring Session和Redis解決分布式Session共享問題

默認 mark value des nested project pty 錯誤 lte 前言 對於分布式使用Nginx+Tomcat實現負載均衡,最常用的均衡算法有IP_Hash、輪訓、根據權重、隨機等。不管對於哪一種負載均衡算法,由於Nginx對不同的請求分發到某一個To

在springMVC解決問題

在springMVC解決跨域問題相對來說比較簡單,網上有好多關於解決跨域的問題的文章,我只嘗試使用其中一種,已經成功了。 條件: 1.spring的版本必須在4.2-*以上,我的版本是<spring.version>4.3.10.RELEASE</spring.versio

js實現的幾種方法

js中幾種實用的跨域方法原理詳解 這裡說的js跨域是指通過js在不同的域之間進行資料傳輸或通訊,比如用ajax向一個不同的域請求資料,或者通過js獲取頁面中不同域的框架中(iframe)的資料。只要協議、域名、埠有任何一個不同,都被當作是不同的域。 下表給出了相對http://sto

網頁請求 同源策略、解決方案

  品習知識點 簡單表述幾個概念,詳解@度娘。 1、同源策略,瀏覽器最核心的安全功能,在無授權情況下,只允許讀寫相同源的資源。其中源(Origin)指的是協議、域名、介面,同源即三者相同。 2、預檢請求,瀏覽器出於安全策略,在跨域請求資料時候預先發起請求,以知是否可跨域請求資料的請求。 關

flask問題和json格式返回

python的後端框架都有關於跨域的方法,flask也不例外, flask的跨域解決只用兩行程式碼就可以搞定了。 from flask import Flask from flask_cors import * app = Flask(__name__) CORS(app, sup

nuxt-axios- 伺服器端渲染

今天在做專案中,遇到一個問題,在一個點選事件中利用axios發請求,出現了跨域問題,之前都是直接用的伺服器端渲染,然後就一直沒出現,還是解決了很久的,所以決定把問題及解決方案記錄下來。  tree.vue :         &nb

【原創】Vue.js axios 訪問錯誤

1、假如訪問的介面地址為 http://www.test.com/apis/index.php  (php api 介面)2、而開發地址為http://127.0.0.1:8080,當axios發起請求時,出現如下錯誤:Failed to load http://www.test.com/apis/

vue 問題

可以先參考這裡, 這裡把vue中跨域的原理講清楚了,只是有兩點需要注意 proxyTable: { '/api': { target: 'http://localhost:3000', changeOrigin: tru

【讀書筆記】Web開發

文章:為什麼給你設定重重障礙?講一講Web開發中的跨域 總結: 一、什麼是跨域?     二、為什麼不讓跨域? 因為在web互動的環境中,只能保證請求發自某個使用者的瀏覽器,卻不能保證請求本身是使用者自願發出的, 這就是跨站請求偽造(CSR

jqueryajax設定http header

本文從以下幾種情況討論ajax請求: 沒有跨域,設定http header頭部(例如authorization); 跨域,沒有設定http header頭部; 跨域,設定http header頭部; 題外,php傳送http請求,並設定http header頭部; Jsonp個人理解,參考 一.aj

vue設定,使用axios請求

在vue的時間開發過程中遇到比較頭疼的事情之一,就是在本地與非本地環境中的介面進行聯調。最常遇見的就是跨域問題,一把的解決方法有三種: 1. 後臺更改header(注:這是後臺的事,我們做不了) 2. 使用JQuery提供的jsonp  (注:只為了使用js

vue開發處理

前端開發中的跨域處理方式有很多,jsonp、服務端配置、nginx代理等等。本文中這些都不涉及,這裡主要記錄下載vue開發中遇到的跨域問題,以及在使用webpack代理處理跨域遇到的一些問題。 vue開發中遇到跨域問題,最簡單的解決方式就是使用webpack代理(proxyTable)將介面代理

利用Nginx解決前後端分離專案問題

1. 前端專案利用Nginx配置站點 server { listen 8092 default_server; listen [::]:8092 default_server; root /home/chenpeng/xiahuaida/data/vue; index index.ht