【问题标题】:why is my web browser not sending cookies when I click a link, but it sends them just fine when I type in the url为什么当我单击链接时我的网络浏览器不发送 cookie,但是当我输入 url 时它发送它们就好了
【发布时间】:2021-01-12 07:38:36
【问题描述】:

我正在用 Golang/HTML 创建一个 Web 应用程序。我正在实施注册、会话、电子邮件验证和登录。

我的代码有效,但是我注意到一些奇怪的浏览器行为。当用户第一次注册时,我的应用程序将向他们发送一封电子邮件,其中包含一个链接,该链接在 url 中有一个唯一的 nonce(使用一次的数字)。这是为了确保用户能够在该地址接收我们的电子邮件并“验证他们的电子邮件”,这是许多 Web 应用程序的标准做法。

Please click the following link to verify your account: http://localhost:8080/verify-email/55c17d2c

我注意到,当我收到这封电子邮件时,如果我单击电子邮件中的链接,浏览器将按预期在新选项卡中打开该链接,但是,它不会针对与该选项卡关联的请求发送任何 cookie。

但是当我手动将链接复制并粘贴到新选项卡中并按 Enter 时,它会发送 cookie 就好了。是什么赋予了?这是某种未记录的安全功能吗?我该怎么办?

我使用https://github.com/six-ddc/httpflow 来捕获在我的网络浏览器和我的服务器应用程序之间传输的 HTTP 请求和响应的日志。我有两个单独的日志,其中一个捕获了我单击链接的注册流程,另一个捕获了我将链接复制并粘贴到新标签中的注册流程。

记录点击电子邮件中链接的位置:https://paste.cyberia.club/~forest/2f3fce7dcc71fc095341eeaefb33f20883c79886

将链接从电子邮件复制并粘贴到网址栏中的日志:https://paste.cyberia.club/~forest/0623f76cfee339e91d2213dd8f4c7710c6fa2797

请注意,我在 firefox 和 google chrome 上试过这个,我也用真实的域和 https 证书尝试过,在所有浏览器和设置中都得到了相同的行为。


这是我的限制:

我希望应用程序在禁用 javascript 的情况下也能正常工作,但是,如果基于 javascript 的解决方案简单、安全并且让网站更易于使用,我愿意接受它们。例如,我正在使用 javascript 在发送到服务器进行登录之前对客户端的密码进行哈希处理。但如果禁用了 javascript,则会发送原始密码。

我不希望用户在单击链接以验证其电子邮件地址后必须再次登录。

我不希望电子邮件地址中的链接代表进入用户帐户的“免费通行证”。我想要求用户在验证他们的电子邮件地址之前已经登录(或以其他方式通过身份验证)。例如,如果有人在目标用户之前窃取了该电子邮件并点击了该链接,我不希望电子邮件窃贼能够接管该帐户。

【问题讨论】:

  • 问题是关于浏览器行为,而不是 Web 应用程序行为。 Web 应用程序运行良好。我们可以知道,因为我们可以在 httpflow 日志中看到,当给出有效请求时,它正在按预期响应。我只是不明白为什么浏览器正在做它正在做的事情。

标签: google-chrome http go firefox cookies


【解决方案1】:

糟糕,我刚刚想通了,我想在我的 cookie 上使用 Lax SameSite 政策:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#SameSite_attribute

它需要三个可能的值:Strict、Lax 和 None。使用 Strict,cookie 仅发送到与其来源相同的站点; Lax 是类似的,除了当用户导航到 cookie 的源站点时发送 cookie,例如,通过来自外部站点的链接;

【讨论】:

  • 感谢上帝,这让我很兴奋
猜你喜欢
  • 2014-05-16
  • 1970-01-01
  • 2010-10-31
  • 2013-03-16
  • 2015-09-18
  • 1970-01-01
  • 1970-01-01
  • 2016-11-03
  • 2014-04-09
相关资源
最近更新 更多