个人中心
gpt4 book ai didi

python - 为什么 session cookie 在从域提供服务时有效,但在使用 IP 时无效?

转载 作者:太空狗 更新时间:2023-10-29 19:36:41 25 4
gpt4 key购买 nike

我有一个带有 session 的 Flask 应用程序,它在我的本地开发机器上运行良好。但是,当我尝试将它部署到 Amazon 服务器上时, session 似乎不起作用。

更具体地说,未设置 session cookie。但是,我可以设置普通 cookie。我确保我有一个静态安全 key ,因为其他人已经指出这可能是一个问题。唯一的区别在于服务器的设置方式。在开发过程中,我使用

app.run()

在本地运行。部署时,我使用

app.config['SERVER_NAME'] = '12.34.56.78'  # <-- insert a "real" IP
app.run(host='0.0.0.0', port=80)

我怀疑问题可能出在上面,但不完全确定。

session 确实似乎可以在 Firefox 上运行,但不能在 Chrome 上运行。

下面的小应用程序演示了这个问题,底部的配置差异:

from flask import Flask, make_response, request, session

app = Flask(__name__)
app.secret_key = 'secretKey'

# this is to verify that cookies can be set
@app.route('/setcookie')
def set_cookie():
    response = make_response('Cookie set')
    response.set_cookie('cookie name', 'cookie value')
    return response

@app.route('/getcookie')
def get_cookie():
    if 'cookie name' in request.cookies:
        return 'Cookie found. Its value is %s.' % request.cookies['cookie name']
    else:
       return 'Cookie not found'

# this is to check if sessions work
@app.route('/setsession')
def set_session():
    session['session name'] = 'session value'
    return 'Session set'

@app.route('/getsession')
def get_session():
    if 'session name' in session:
        return 'Session value is %s.' % session['session name']
    else:
        return 'Session value not found'

if __name__ == '__main__':
    app.debug = True

    # windows, local development
    #app.run()  

    # Ubuntu
    app.config['SERVER_NAME'] = '12.34.56.78'  # <-- insert a "real" IP
    app.run(host='0.0.0.0', port=80)

最佳答案

这是 Chrome 中的“错误”,而不是您的应用程序的问题。 (如果其他浏览器更改其政策,它也可能会影响其他浏览器。)

RFC 2109描述了 cookie 的处理方式,似乎表明 cookie 域必须是带有 TLD(.com、.net 等)的 FQDN 或者是完全匹配的 IP 地址。 original Netscape cookie spec根本没有提到 IP 地址。

Chrome 开发人员决定比其他浏览器更严格地接受 cookie 域的值。在某一时刻 they corrected a bug阻止了 IP 地址上的 cookie,they have apparently backpedaled从那时起,不允许在非 FQDN 域(包括本地主机) IP 地址上使用 cookie。他们已声明他们不会修复此问题,因为他们认为这不是错误。

“正常”cookie 有效但 session cookie 无效的原因是您没有为“正常”cookie 设置域(这是一个可选参数),但 Flask 自动将 session cookie 的域设置为服务器名称。 Chrome(和其他浏览器)接受没有域的 cookie 并将它们自动设置为响应的域,因此观察到行为差异。如果您将域设置为 IP 地址,您可以观察到正常的 cookie 失败。

在开发过程中,您可以通过在本地主机上运行应用程序而不是让它默认为 127.0.0.1 来解决这个问题。 Flask has a workaround如果服务器名称是 localhost,则不会发送 session cookie 的域。 app.run('localhost')

在生产中,没有任何真正的解决方案。您可以在域而不是 IP 上提供此服务,这可以解决问题,但在您的环境中可能无法实现。您可以强制要求所有客户使用 Chrome 以外的东西,这是不切实际的。或者,您可以为 Flask 提供一个不同的 session 接口(interface),该接口(interface)对它已经用于本地主机的 IP 执行相同的解决方法,尽管这在某种程度上可能是不安全的。

Chrome 不允许带有域 IP 的 cookie,并且没有实际的解决方法。

关于python - 为什么 session cookie 在从域提供服务时有效,但在使用 IP 时无效?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27254013/

25 4 0
文章推荐: python - Django 中的 py 文件的 ValueError : Incorrect timezone setting while migrating manage.
文章推荐: angular - 如何创建对动态创建组件的引用?
文章推荐: angular - 如何在组件中查找元素?
文章推荐: python - 如何使用 Selenium 和 Python 将 DELETE 击键发送到文本字段?
太空狗
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com