authentication - 通过 Set-Cookie 注销失败-6ren

authentication - 通过 Set-Cookie 注销失败

转载作者：行者123 更新时间：2023-12-04 04:33:30

24

4

我们不久前将我们的网站移到了一个新的主机上，并且偶尔会遇到人们无法退出的问题。不确定这是否与托管环境或代码更改有关。

这是相关位的 Wireshark 日志——所有这些都发生在同一个 TCP 流中。

来自浏览器的注销请求(注意身份验证 cookie):

GET /cirrus/logout HTTP/1.1

Host: subdomain.domain.com

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:26.0) Gecko/20100101 Firefox/26.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://subdomain.domain.com/cirrus/CA/Admin/AccountSwitch

Cookie:  USER.AUTH=AOvDEjH3w6xIxUC0sYNOAQR5BZ7pPmEF0RMxqohERN87Ti03Eqxd7rQC/BveqmaszmFg8QoSonP+Z+mtQQivKpvloFsQYretYKR8ENubj+moUBF479K5e4albKxS9mBEWT5Xy/XCnEyCPqLASGLY09ywkmIilNU1Ox4J3fCtYXHelE/hyzuKe9y3ui5AKEbbGs3sN9q1zYjVjHKKiNIGaHvjJ2zn7ZUs042B82Jc9RHzt0JW8dnnrl3mAkN1lJQogtlG+ynQSCyQD8YzgO8IpOnSXLJLaCMGMQcvSyX4YKJU/9sxgA5r5cZVCkHLsReS3eIJtXoxktMO6nxVZJY6MX1YwuJOgLRQvwBy9FFnQ6ye

X-LogDigger-CliVer: client-firefox 2.1.5

X-LogDigger: logme=0&reqid=fda96ee5-2db4-f543-81b5-64bdb022d358&

Connection: keep-alive

服务器响应。它清除cookie值并重定向

HTTP/1.1 302 Found

Server: nginx

Date: Fri, 22 Nov 2013 14:40:22 GMT

Content-Type: text/html; charset=utf-8

Content-Length: 124

Connection: keep-alive

Cache-Control: private, no-cache="Set-Cookie"

Location: /cirrus

Set-Cookie: USER.AUTH=; expires=Fri, 22-Jul-2005 14:40:17 GMT; path=/cirrus

X-Powered-By: ASP.NET

X-UA-Compatible: chrome=IE8



<html><head><title>Object moved</title></head><body>

<h2>Object moved to <a href="/cirrus">here</a>.</h2>

</body></html>

浏览器遵循重定向，但使用旧的 cookie 值:

GET /cirrus HTTP/1.1

Host: subdomain.domain.com

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:26.0) Gecko/20100101 Firefox/26.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://subdomain.domain.com/cirrus/CA/Admin/AccountSwitch

Cookie: USER.AUTH=AOvDEjH3w6xIxUC0sYNOAQR5BZ7pPmEF0RMxqohERN87Ti03Eqxd7rQC/BveqmaszmFg8QoSonP+Z+mtQQivKpvloFsQYretYKR8ENubj+moUBF479K5e4albKxS9mBEWT5Xy/XCnEyCPqLASGLY09ywkmIilNU1Ox4J3fCtYXHelE/hyzuKe9y3ui5AKEbbGs3sN9q1zYjVjHKKiNIGaHvjJ2zn7ZUs042B82Jc9RHzt0JW8dnnrl3mAkN1lJQogtlG+ynQSCyQD8YzgO8IpOnSXLJLaCMGMQcvSyX4YKJU/9sxgA5r5cZVCkHLsReS3eIJtXoxktMO6nxVZJY6MX1YwuJOgLRQvwBy9FFnQ6ye

X-LogDigger-CliVer: client-firefox 2.1.5

X-LogDigger: logme=0&reqid=0052e1e1-2306-d64d-a308-20f9fce4702e&

Connection: keep-alive

Set-Cookie header 中是否有明显缺失的内容可能会阻止浏览器删除 cookie？

要更改现有 cookie 的值，以下 cookie 参数必须匹配:

姓名

路径

域

名称和路径是明确设置的，域不是。这可能是问题吗？

编辑:正如有人问为什么过期日期是在过去设置的，更多的背景知识。
这是对 AppHarbor Security 插件的轻微修改: https://github.com/appharbor/AppHarbor.Web.Security
修改是包含cookie的路径。请在此处找到修改后的注销方法:

public void SignOut(string path)
    {
        _context.Response.Cookies.Remove(_configuration.CookieName);
        _context.Response.Cookies.Add(new HttpCookie(_configuration.CookieName, "")
        {
            Expires = DateTime.UtcNow.AddMonths(-100),
            Path = path
        });
    }

过去的过期日期是由 AppHarbor 插件完成的，是常见的做法。见 http://msdn.microsoft.com/en-us/library/ms178195(v=vs.100).aspx

最佳答案

猜测我会说历史到期日期导致整个 Set-Cookie 行被忽略(为什么设置一个 8 年前过期的 cookie？)。
expires=Fri, 22-Jul-2005

关于authentication - 通过 Set-Cookie 注销失败，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/20148102/

24

4

0

文章推荐： d3.js 菱形符号大小功能

文章推荐： actionscript-3 - 在 Haxe 中为 Flash 符号创建一个类？

文章推荐：用于业务流程的 BPMN 模型的 UML 配置文件

C++:set::insert with iterators and sets of sets
我有一组称为 nets 的整数集，我正在尝试对其进行迭代以确定是否已将来自或来自的整数添加到现有集合中；如果是这样，我将它们添加到现有集合中(这是为了跟踪电网中所有短路的组合)。但是，我无法让 se
java - 如何检测一个 Set of Sets 是否包含另一个 Set？
很奇怪:A 是一个集合，B 是一个集合的集合: Set A=new HashSet(); Set > B=new HashSet>(); 我给他们加了东西，输出 System.out.println
types - 为什么 (Set -> Set) 不能有 Set 类型？
在 Agda 中，forall 的类型以这样的方式确定以下所有类型都是Set1 (其中 Set1 是 Set 的类型， A 的类型是 Set ): Set → A A → Set Set → Set
Scala 相当于 'forall a. Set a -> Set a -> Set a'
在 haskell 中我可以写一个函数 f where f :: Set a -> Set a -> Set a 如果我采用 Set Int 类型的两组 s1 和 s2，然后执行 f s1 s2 它将
java - 如何定义用于的自定义 Set 实现
在使用 Spring 时，我遇到了一个奇怪的问题。我有一个类，它接受一个集合作为输入，因为该类是底层框架的，所以我无法更改它。这是它的声明 private Set evaluate; public S
java - 编译错误 : cannot convert Set> to Set>>
我是流的新手，我想通过将流操作应用于其条目集来修改 map ，但由于编译错误我无法这样做。下面的代码只是创建了一个新的 map 对象并为其分配了一些整数值。然后它尝试通过在其条目集上应用流操作来删除
java - 为什么不使用 Set set = new HashSet() 而不是 Set set = new HashSet()？
无论我看什么，我都会看到集合的输入是这样完成的: Set set = new HashSet(); 但是，我像这样定义我的集合 Set set = new HashSet(); 而且我仍然进行类型检查
shell - 我怎样才能在fish中执行bash 'set -e'、 'set -u'和 'set -x'？
我想对于 set -e 我可以捕获信号，但其他的我不知道。最佳答案为了完整性: set -e:如果命令失败则退出 set -u:如果在设置之前引用变量，则会出现错误 set -x:显示运行的命令
Java Set - Set.add() 和 Set.addAll() 哪个更快？
Set 维护唯一记录，并在尝试复制现有元素时更新现有记录。考虑以下两种情况。您认为两者之间哪一个代码更快、更高效？场景 1:使用 addAll() Set uniqueSet = new Hash
django - 错误 : Could not import settings 'mysite.settings' after setting up virtualenv for Django
我在 Fedora 上做这个问题: (sandbox)[root@localhost mysite]# django-admin.py runserver Error: Could not impo
c++ - set.upper_bound()和upper_bound(set.begin()，set.end())STL之间的区别
https://codeforces.com/contest/1435/submission/96757666->使用set.upper_bound() https://codeforces.com/
mysql - INSERT 值是否使用 SET NAMES、SET CHARACTER SET 编码？
使用 MySQL，我已将连接字符集设置为 UTF-8: SET NAMES 'utf8mb4'; SET CHARACTER SET 'utf8mb4'; 这样我就能以 UTF-8 格式返回所有内容，
java - 在Spring MVC中，如何映射/settings/、/settings/users/、/settings/users/delete等嵌套URL？
在 Spring 3 MVC 中，我有一个称为 SettingsController 的 Controller ，它具有用于显示用户列表的 displayUsers()、saveUser() 和 de
set - 使用模块 Set Ocaml
我正在创建一个使用语法的程序，并查看该语法是否为 LL (1)。我想使用模块Set，但是我不知道如何进行，当然set的元素的类型是char，你能帮忙吗？最佳答案此答案假设您已经知道如何确定语法是否
java - Set<> = Sets.newHashSet()
好的，所以我重新整理了这篇文章，使其更容易理解(对所有的 Pastebin 感到抱歉，但堆栈溢出在代码格式化方面很愚蠢) 请注意，我不打算存储如下所述的大量数据。我使用我所说的数量的主要原因是为了尽可
c# - 加密配置文件段(Settings.settings)
我有一个密码，我保存在 Settings.settings 文件中并且我希望该部分被加密。 This是我得到的提示，但我真的不知道如何应用它。谁能给我一个关于如何加密这样的密码的想法？最佳答案您
c# - Settings.settings 中的自定义数据类型作为类数组
我在网上搜索并找到了如何在设置中添加特定的自定义数据类型。我自己插入数据，而不是在程序运行时通过代码插入数据。我的问题是如何将自定义数据类型添加到设计器中的组合框。现在我想通了，需要建议，如何添加这
c# - 将自定义类的集合添加到 Settings.Settings
我一直在尝试将自定义类的自定义集合添加到我的 winforms 项目的应用程序设置中，我觉得我已经尝试了六种不同的方法，包括 this way , this way , this way , 和 th
c# - Settings.settings 文件不断重置
在 Visual Studio 2008 中调试我的项目时，我的 Settings.settings 文件在构建之间不断重置。有没有办法防止这种情况发生？谢谢。最佳答案好的，我找到了我真正想要的
manpage - set -e 和 set -a 在 bash 中做什么。我可以使用 set 命令的其他选项是什么
关闭。这个问题不符合 Stack Overflow guidelines 。它目前不接受答案。想改善这个问题吗？更新问题，以便堆栈溢出为 on-topic。 4年前关闭。 Improve this

首页

博学

6Ren·AI

商城

authentication - 通过 Set-Cookie 注销失败