IE10 передает файлы cookie по субдоменам по умолчанию

IE10, похоже, обрабатывает файлы cookie и субдомены по-другому, чем другие основные браузеры (IE8, IE9, Firefox, Chrome, Safari).

Мы широко используем субдомены для тестовых сред, например:

user1.devel.example.com
user2.devel.example.com
qa.example.com

И наша производственная среда находится наверху, например. example.com(и технически также на www.example.com).

Мы используем функцию php setcookie($name, $value, $expires) наивно (не указывается явный путь или домен), чтобы установить cookie, а затем очистить файлы cookie (когда пользователь выходит из системы), назначив пустую строку значению. Это всегда срабатывало нормально, и каждый уникальный субдомен использовал свои собственные файлы cookie.

IE10 теперь "разделяет" cookie, который был установлен в TLD со всеми подобластями. Первоначальный симптом, который мы наблюдали, заключался в том, что никто не мог выйти из поддомена. Мы заметили несколько вещей:

Несмотря на то, что он имеет значение, ни один поддомен не может очистить файл cookie.
Когда TLD очищает файл cookie, он сразу же удаляется из всех поддоменов.

Кто-нибудь еще наблюдал подобное поведение по тому, как IE10 хранит/применяет файлы cookie относительно поддоменов? Существует ли какое-либо обходное решение, отличное от того, в каком домене применяется cookie при отправке исходного заголовка Set-Cookie?

Ответ 1

Я только что столкнулся с этой проблемой.

Вот ссылка на кого-то, изучающего эту ошибку/проблему: Файлы cookie с указанным доменом и без него (несовместимость браузера)

Это также может быть связано: Набор файлов cookie для субдомена, но IE Developer Tools показывает cookie в корневом домене. Что мне не хватает?

Мое заключение заключается в том, что при настройке файла cookie из корневого домена, отличного от www (http://sites.com), в IE это рассматривается как подстановочный файл cookie для всех поддоменов. Chrome и Firefox не показывают этого поведения - они связывают набор cookie из корневого домена, отличного от www, как связанного только с этим корнем.

Я закодировал примеры сайтов с использованием .net webforms, IIS и моего файла hosts. У меня было 3 сайта: a.site.com, b.site.com и site.com. Все они служили куки с тем же именем. Позвольте называть его "ShoppingCart".

Вы можете установить несколько свойств в файлах cookie, включая домен, к которому должен быть связан cookie. Я оставил это свойство для определения /left undefined по .net. Когда Chrome получил файл cookie с каждого сайта, он отобразил домен куки файла как явно из домена, указанного в адресной строке браузера. В IE это было не так. IE рассматривает cookie от http://sites.com как определяемый как ".sites.com", и согласно RFC для файлов cookie это означает, что он доступен из всех поддоменов.

Также в IE, если несколько файлов cookie установлены с тем же именем, IE возвращает их на сервер в том порядке, в котором они были установлены. Поэтому, если я сначала загляжу в http://sites.com, а затем зайдите на http://a.sites.com, а затем обновить, IE просматривает файл cookie http://sites.com в качестве допустимого файла cookie для отправки на сервер в нем запроса http://a.sites.com, который отправляется вместе с файлом cookie для http://a.sites.com, кроме cookie для http://sites.com является первым в списке.

В .net, из того, что я видел, файлы cookie обычно доступны по имени, а не по индексу. Поэтому, когда код на стороне сервера пытается получить доступ к значению для ключа с именем "ShoppingCart", он будет захватывать значение для первого сайта, который устанавливает значение cookie - здесь это будет http://sites.com.

В заключение - не используйте домены без доменов, когда у вас есть субдомены, которые имеют общие имена файлов cookie, потому что, хотя Chrome/Firefox обрабатывает ассоциацию домена, как и следовало ожидать, IE вызывает ошибочное поведение.

Правка -

Чтобы уточнить, кто читает это, я использовал IE10 для изучения этой проблемы.

Ответ 2

Супер простой способ исправить это, если у вас несколько доменов PHP в домене.

Например, если у вас есть Wordpress на корне (example.com), и у вас есть пользовательское PHP-приложение на субдомене (a.example.com), то либо внутри вашего приложения, либо Wordpress вам нужно установить другое имя SessionName.

Добавьте session_name() до вашего session_start(), который должен дать два отдельных имени сеансу и, следовательно, не столкнуться.

session_name('AppSession');
session_start();

Легко.

Ответ 3

Да, это известные проблемы, которые, кажется, читайте здесь: http://blogs.msdn.com/b/ieinternals/archive/2009/08/20/wininet-ie-cookie-internals-faq.aspx

Они ссылаются на этот тест: http://debugtheweb.com/test/cookieinherit.aspx и http://www.debugtheweb.com/test/cookieinherit.aspx

Ответ 4

У меня такая же проблема в IE 11.0.9600 для cookie php session: Internet Explorer отправляет файлы cookie домена домена всем своим поддоменам. Чтобы решить эту проблему, я сохраняю имя домена в переменной сеанса:

$_SESSION['URL'] = str_replace('www.', '', $_SERVER['HTTP_HOST']);

Затем для каждого запроса я проверяю переменную сеанса:

if ( str_replace('www.', '', $_SERVER['HTTP_HOST']) !=  $_SESSION['URL']) {
  session_regenerate_id(true);
  $_SESSION = array();
  $_SESSION['URL'] = str_replace('www.', '', $_SERVER['HTTP_HOST']);
}

Затем, когда мы перейдем от корневого домена к поддомену, мы не будем "в" том же сеансе.