1. 首页
  2. 问答
  3. Cookie未发送重定向。 Referer是罪魁祸首吗?

Cookie未发送重定向。 Referer是罪魁祸首吗?

2016-02-04 108 views
0

我有一个实现OpenID Connect客户端的HTTP服务器。 OpenID Connect协议涉及许多重定向,其中一个给我带来麻烦,可能是由于Referer头部的存在。 Firefox,Chrome和IE出现问题。Cookie未发送重定向。 Referer是罪魁祸首吗?

  1. 的请求涉及到我的服务器。浏览器被重定向到OpenID提供程序。
  2. OpenID提供程序验证最终用户并将浏览器重定向到我服务器上的端点。
  3. 我的服务器与OpenID提供程序交互以确定最终用户的身份并为用户建立会话。
  4. 浏览器被重定向回我的服务器,重新执行原始请求,这次是通过cookie中的会话标识。

我创建了一个简单的OpenID Connect Provider实现进行测试,一切正常。但是,在使用salesforce.com进行测试时,步骤4中的最终重定向存在问题。使用salesforce.com时,最终请求不包含Cookie标头。

测试与我的ID连接提供商

在步骤4中发送给用户的浏览器的响应:

HTTP/1.1 302 Found 
Set-Cookie: session=c925f5006beb15cab779b292fe37e727; path=/; secure; HttpOnly 
Location: https://localhost:21201/targetService 
Content-Type: text/html; charset=UTF-8 
Content-Length: 75

浏览器回来了:

GET /targetService HTTP/1.1 
Host: localhost:21201 
Connection: keep-alive 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36 
DNT: 1 
Accept-Encoding: gzip, deflate, sdch 
Accept-Language: en-US,en;q=0.8 
Cookie: session=c925f5006beb15cab779b292fe37e727

那看起来不错,请求很荣幸。请求的资源返回200状态。

测试使用salesforce.com

在步骤4中发送给用户的浏览器的响应:

HTTP/1.1 302 Found 
Set-Cookie: session=5c6980f0ca3a1860b66880c836865eb0; path=/; secure; HttpOnly 
Location: https://localhost:21200/targetService 
Content-Type: text/html; charset=UTF-8 
Content-Length: 75

浏览器回来了:

GET /targetService HTTP/1.1 
Host: localhost:21200 
Connection: keep-alive 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36 
DNT: 1 
Referer: https://na16.salesforce.com/setup/secur/RemoteAccessAuthorizationPage.apexp?source=CAAAAVKuWovcME8wODAwMDAwMDAwMDA0AAAAxrM5iJVLBE88gApP096QhF5f83j0HN8ziJiIAdQEiiPmEiBfkMSrZVdxHPiO0EmDxIeKxZCkfidhCpaB4sEOkTNXsBjtNOE3NuhngS-cU8NPzTGM5aSnS8GiPgfui_7SvRh0y6jfFqYg_WkIh0RDK9u7KQjuz4VsFy5lJ2wBP0tyKSmpKSoXVCSxiwwcRZJbCjZVxWwiwodVVf5YfgAOpJ8fF64-swwZNxzi7-ZpTPPZVBIJtxaO_VKIDbrRH9BnaIoo7FRld4P0pYmlh7SOk4I5YhibW_dc-NqQ8YHj7EXv9EMc0Zk2PFDfP8QJV1LJ_pdu-UzpI-r78JTMQlZeF6OC2ANaMGykEyD9BI7cFNKu6UD1MljaiRCcEuMdqP2n7s0yFmRt1o-wl9gSIY6BHq_0LshPlC_quufFA6qFwLEperjE3LZ78JBYLUTLFAlzM1GeGEh75MADZZqvWQE7DTbrvYcB29Q0tMK2jC22FTp8GqfxgSD5UBirfCWjfLDkDccII2g1AwteoH0tBTwhNUQqA2bb8Tl7aRQ_vIHxRboN9h5WlSpZEqphiq_FJAL1F3bPoicoSCvFDxYzQj-SrlY%3D&display=page 
Accept-Encoding: gzip, deflate, sdch 
Accept-Language: en-US,en;q=0.8

正如你可以看到,浏览器通过发送下一个响应重定向请求没有cookie。由于没有cookie,我的服务器将浏览器重定向到OpenID提供程序以进行身份​​验证,从而启动无限循环。

我可以看到的唯一区别是,最终请求,使用salesforce.com测试时,包括引用站点。我怀疑这可能会导致它不包含cookie。是这样吗?如果是这样,关于我能做些什么的想法。显然,我无法控制salesforce.com的功能。

来源

2016-02-04 Michael

回答

0

事实证明,Referer的是的罪魁祸首。我发现你可以在Firefox中使用disable use of the Referer header。我这样做,仍然得到相同的结果。当从salesforce.com返回后重定向时,浏览器不遵守Set-Cookie标头。也就是说,它仍未在原始帖子的第4步中发送cookie。

所以,问题还没有解决,但这个问题已经得到解答。

来源

2016-02-05 03:25:30 Michael

相关问题

 相关问题