具有显式域的本地主机上的cookie

我一定是忽略了饼干的一些基本特性。在localhost上，当我在服务器端设置cookie并显式地将域指定为localhost(或.localhost)时。有些浏览器似乎不接受cookie。

Firefox 3.5:我在Firebug中检查了HTTP请求。我看到的是:

Set-Cookie:
    name=value;
    domain=localhost;
    expires=Thu, 16-Jul-2009 21:25:05 GMT;
    path=/

或者(当我设置域为.localhost时):

Set-Cookie:
    name=value;
    domain=.localhost;
    expires=Thu, 16-Jul-2009 21:25:05 GMT;
    path=/

在这两种情况下，cookie都不会被存储。

IE8:我没有使用任何额外的工具，但cookie似乎没有被存储，因为它没有在后续的请求中被发送回来。

Opera 9.64: localhost和.localhost都可以工作，但是当我检查Preferences中的cookie列表时，域被设置为localhost。Local，即使它列在localhost下(在列表分组中)。

Safari 4: localhost和.localhost都可以工作，但它们总是在首选项中列出为.localhost。另一方面，一个没有显式域的cookie，它只显示为localhost(没有点)。

localhost有什么问题?由于存在如此多的不一致，必须有一些涉及localhost的特殊规则。另外，我也不完全清楚为什么域名必须以一个点作为前缀?RFC 2109明确指出:

Domain属性的值不包含或不包含嵌入点从一个点开始。

为什么?该文档表明它必须在安全性方面做一些事情。我必须承认我没有阅读完整的规范(可能以后会读)，但它听起来有点奇怪。基于此，在本地主机上设置cookie是不可能的。

当前回答

你可以使用localhost.org或。localhost.org，它总是会解析为127.0.0.1

其他回答

我也有同样的问题，我通过在cookie名称本身放置2个点而不指定任何域来修复它。

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly

Cookie需要指定SameSite属性，None值曾经是默认值，但最近的浏览器版本将Lax作为默认值，以对某些类型的跨站请求伪造(CSRF)攻击具有相当强大的防御能力。

除了SameSite=Lax，你还应该有Domain=localhost，这样你的cookie就会关联到localhost并被保存。它应该看起来像这样:

document.cookie = `${name}=${value}${expires}; Path=/; Domain=localhost; SameSite=Lax`;

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

我只是玩玩而已。

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=localhost; Path=/

目前可以在Firefox和Chrome上运行。但是，我没有找到一种方法使它与卷曲一起工作。我试过Host-Header和——决心，没有运气，感谢任何帮助。

但是，如果我设置为，它在curl中工作

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=127.0.0.1; Path=/

代替。(Firefox不支持这个功能。)

你可以使用localhost.org或。localhost.org，它总是会解析为127.0.0.1

localhost:你可以使用:domain: ".app。Localhost”，它会工作。“domain”参数需要在域名中加上一个或多个点，用于设置cookie。然后你可以让会话跨localhost子域工作，比如:api.app.localhost:3000。

推荐文章