js禁止获取cookie（浏览器禁用js后果）

本文目录一览：

• 
  1、如何用js实现跨域获取COOKIE
  


• 
  2、如何防止js获取COOKIEs值
  


• 
  3、如何检测服务器端的COOKIE是否被禁用
  


• 
  4、nodejs怎么设置COOKIE
  


• 
  5、js COOKIE跨站问题
  

如何用js实现跨域获取COOKIE

正常情况下，浏览器禁止跨域获取COOKIE

一般通过sso服务可以实现取得跨域COOKIE，思路如下：

域A页面访问位于域A的服务器，对权限进行验证

域A服务器于域B服务器通信，记录一个唯一的加密串用作身份验证域（并将COOKIE信息发送给域B服务器）

域A服务器返回302跳转，跳转到域B下，并将加密串作为url的一部分

页面由域A跳转到域B，域B服务器通过加密串获取到事先从域A服务器上得到的COOKIE信息，并在响应头中添加set-COOKIE字段设置COOKIE

如何防止js获取COOKIEs值

浏览器是你自己的，你可以禁用很多功能 比例COOKIEs 脚本 ActionX ····

关掉COOKIEs 操作如下

浏览器安全设置 工具—— internet选项 隐私 ——安全级别 调高

如何检测服务器端的COOKIE是否被禁用

在服务器端判断，需要访问服务器2次

首先在a页面设置一个COOKIE

接着在b页面请求这个COOKIE，如果没请求到，说明客户端禁用COOKIE了

禁用js也一样，在a页面用js设置一个值，提交到b页面，b页面获取到了这个值，说明js启用

否则js禁用了

nodejs怎么设置COOKIE

var http = require('http');

http.createServer(function (req, res) {

// 获得客户端的COOKIE

var COOKIEs = {};

req.headers.COOKIE req.headers.COOKIE.split(';').forEach(function( COOKIE ) {

var parts = COOKIE.split('=');

COOKIEs[ parts[ 0 ].trim() ] = ( parts[ 1 ] || '' ).trim();

});

console.log(COOKIEs)

// 向客户端设置一个COOKIE

res.writeHead(200, {

'Set-COOKIE': 'myCOOKIE=test',

'Content-Type': 'text/plain'

});

res.end('Hello World\n');

}).listen(8000);

console.log('Server running at ');

如果去掉其中几句，就是官方给出的例子，除了表明返回一个页面多简单外，一点用也没有。

var http = require('http');

http.createServer(function (req, res) {

res.writeHead(200, {'Content-Type': 'text/plain'});

res.end('Hello World\n');

}).listen(8000);

console.log('Server running at ');

我们通过http.createServer的回调来处理所有请求与响应，因此什么有用的东西都在它们上面。COOKIE位于req对象的headers对象上，为一个字符串，通常为了方便我们将它们转换成一个对象。

写入一个COOKIE其实就是在首部设置一个键值对，上面是简单方式，它实际上可以这样：

res.writeHead(200, {

'Set-COOKIE': ["aaa=bbb","ccc=ddd","eee=fff"],

'Content-Type': 'text/plain'

});

但真正使用时，我们的COOKIE并非这样简单的的格式：

Set-COOKIE: =[; =]

[; expires=][; domain=]

[; path=][; secure][; HttpOnly]

console.log('Server running at ');

HttpOnly 属性： 这是微软对COOKIE做的扩展。如果在COOKIE中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到COOKIE信息，这样能有效的防止XSS攻击。

var http = require('http');

http.createServer(function (req, res) {

// 获得客户端的COOKIE

var COOKIEs = {};

req.headers.COOKIE req.headers.COOKIE.split(';').forEach(function( COOKIE ) {

var parts = COOKIE.split('=');

COOKIEs[ parts[ 0 ].trim() ] = ( parts[ 1 ] || '' ).trim();

});

console.log(COOKIEs)

// 向客户端设置一个COOKIE

res.writeHead(200, {

'Set-COOKIE': 'SSID=Ap4GTEq; Expires=Wed, 13-Jan-2021 22:23:01 GMT;HttpOnly ',

'Content-Type': 'text/html'

});

res.end('Hello World\nscriptconsole.log(document.COOKIE)/script');

}).listen(8000);

console.log('Server running at ');

然后多刷几次页面，我们发现我们还能在控制台看到SSID=Ap4GTEq这个属性，但在前端我们看不到它（当然在firebug中能看到）。

Secure属性： 当设置为true时，表示创建的 COOKIE 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到COOKIE 的具体内容。同上，在客户端我们也无法在document.COOKIE找到被设置了Secure=true的COOKIE键值对。Secure属性是防止信息在传递的过程中被监听捕获后信息泄漏，HttpOnly属性的目的是防止程序获取COOKIE后进行攻击。我们可以把Secure=true看成比HttpOnly更严格的访问控制。

path属性： 指定可访问COOKIE的目录。例如："userId=320; path=/shop";就表示当前COOKIE仅能在shop目录下使用。

domain属性： 指定可访问COOKIE的主机名.主机名是指同一个域下的不同主机，例如：和gmail.google.com就是两个不同的主机名。默认情况下，一个主机中创建的COOKIE在另一个主机下是不能被访问的， 但可以通过domain参数来实现对其的控制，其语法格式为："name=value; domain=COOKIEDomain";以google为例，要实现跨主机访问，可以写为： "name=value;domain=.google.com";这样，所有google.com下的主机都可以访问该COOKIE。

Expires属性：指定过期时间，格式为"name=value;; expires=GMT_String"; 其中GMT_String是以GMT格式表示的时间字符串，超过这个时间，COOKIE将消失，不可访问。例如：如果要将COOKIE设置为10天后过期，可以这样实现：

js COOKIE跨站问题

跨站设置COOKIE和获取COOKIE这个在安全上是禁止的，不允许的。正常情况不会让你人工获取到的。