cookie的作用域

前阵子,接一个用户授权服务时,遇到一个关于cookie的诡异问题,折腾了一天才知道问题出在哪儿,虽然时候才知道这是个小白问题。

遇到问题是这样子:

     比如访问A地址(比如http://localhost/index,http://localhost/test/index)时需要登陆时会跳转到一个登陆页面,登陆成功后,跳转回原页面,这时将用户信息存入到session中,并通过response的Set-Cookie头信息,设置向对应的cookie值。具体如下:

Set-Cookie:sid=Wnse42HlgkYBbLtAEOMRkXcWHSwkr9nRUS0WBFFHA4TCZUga; Max-Age=28800; Expires=Mon, 18 Mar 2013 12:07:32 GMT; 

     乍一看没有问题吧?

     当A地址是在一级目录,比如http://localhost/index,这样是没有任何问题的。

     但A地址是在二级目录,比如http://localhost/test/index,问题就来了。访问过A后再去访问其他层级的目录,比如http://localhost/test2/index,这时是得不到用户的cookie信息,就好像之前的登陆无效一样。

现在大家应该清楚问题处在哪了?cookie的作用域问题

解决方法也很简单,指定全局的作用域

Set-Cookie:sid=Wnse42HlgkYBbLtAEOMRkXcWHSwkr9nRUS0WBFFHA4TCZUga; Max-Age=28800; Expires=Mon, 18 Mar 2013 12:07:32 GMT; Path=/;

 这里很重要的一点是:正常的cookie只能在一个应用中(简单理解,就是一个目录)共享,即一个cookie只能由创建它的应用获得,比如在/test1/*创建自己应用的cookie,/test2/*下是拿不到。而且很容易被忽视的一点:path默认是产生cookie的应用的路径

如果两者需要共享的话,指定Path为"/"即可

所以以前千万不要为了省事,而不设置一些重要的参数,不然......

具体的测试代码可见:https://github.com/jifeng/toycode/blob/master/cookie/path.js

     

  

 

 

posted @ 2013-02-26 20:54 lengyuhong 阅读(...) 评论(...) 编辑 收藏