Есть проект. У этого проекта есть Админ панель и есть скрипт. Этот скрипт встраивается на другие сайты путем вставки тега <script /> в head сайта.

Есть сайт, на который вставили этот скрипт.

Проект крутится на Tomcat. Соответственно в куки ставиться id сессии и пишется он по домену проекта.

Когда загружается скрипт, на том сайте где поставили его, сервер проекта ставит нужные куки для это скрипта и ставит их на домен проекта.

Если смотреть через инспектор в хроме то можно видеть что куки для каждого сайта свои. Если открыть страницу проекта и страницу сайта, на котором стоит скрипт, можно увидеть что id этой самой сессии одинаковые. Хотя подождите, разные сайты и разные куки. Как так может быть что кука каким-то образом подтянулась с тех cookie?

BlazkowiczКазалось бы при чем тут Java, если вопрос про web
Я ничего не понял из сумбурного объяснения. Но когда у вас разные домены, то это называется CORS:
https://www.google.com/search?q=CORS cookie
Вот такая фигня позволяет шарить куки
https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/withCredentials

CORS используется.

Blazkowicz"Да, записная книжка тоже есть у мэня. " (c)
?

BlazkowiczЯ как бы указываю на бессмысленность вашего коментария, который не привносит в обсуждение никакой новой информации, иронично ссылаясь на известный гэг.
Я просто не могу понять. почему CORS имеет доступ к кукам которые записаны к другому сайту(проекту). То бишь если не использовать CORS то такого не будет? но при этом не возможно будет делать запросы с других сайтов.

BlazkowiczЗависит от того как использовать. Я же привел ссылку. Можно использовать CORS и не шарить куки.


Я выставил withCredentials, но куки все равно передаются.

withCredentials = false

Blazkowicz,

может в этом проблема. Скрипт который подключается обращается по адресу http://site.com/w/fmsdlhgdfgdgmfsvkbjlfsgfgndbg
На http://site.com/w/ настроен фильтр. Фильтр обрабатывает данные и отдаёт байты скрипта. И получается в этом фильтре и вижу что приходят куки.

BlazkowiczКакие ещё фильтры. Смотрите интсрументы разработчика в браузере. Что отправляется, что приходит.

окей.

Есть две страницы. Первая это сайт с которого тянется скрипт (проект). Вторая страница - сайт на который был подключен скрипт. Это абсолютно разные страницы, никак не связанные между собой.

Когда я зашел на первую страницу сервер в куки положил id сессии. Окей без проблем.

Далее я захожу на вторую страницу, где подключен скрипт, и в инструмента разработчика я вижу что при загрузке скрипта отправляются куки которые были поставлены на первом сайте. Как такое возможно вообще?

BlazkowiczВы на пальцах пытаетесь объяснить проблему, которая требует технической точности.
"абсолютно разные страницы"... Нет, никаких "разных" и "одинаковых" страниц. Куки привязываются к домену.
Абсолютно разные "страницы" на одном доменте? Нет? Тогда смотрим CORS.

Два разных домена.

Blazkowicz"при загрузке скрипта отправляются куки" это вообще как понимать? В странице есть ссылка на js файл и в запросе на загрузку js файла вы видите куки? Или скрипт у вас отправляет AJAX запрос? При чем тогда "загрузка"?


Да. Есть ссылка на js файл и когда браузер его загружает он передаёт куки от другого домена вообще. Нет, не ajax запрос.

Petro123,

Вот первый сайт http://chat2help.com/, а вот сайт на который встроен скрипт http://sloyev.com/

Petro123,

1. открыть первый сайт. В куках можно увидеть такую куку 8O8488WlWWgNzAkGCFYAZyj3Bn91CR - id сессии, который ставит сервер.
2. Открыть второй сайт. Открыть инструменты разработчика. На вкладке Network найти загрузку js скрипта http://chat2help.com/w/3MZGZIb8v8yuzfO075QvVEyX1S8J2rCsBNABYvS0O85Dp8Gx8y. В Request Headers можно увидеть куки с первого сайта.

CORS-а на загрузку скрипта не стоит. CORS стоит только на ajax запросы с этого скрипта.

Blazkowicz,

Да. Но штука в том что там куки не ставятся. Куки другого домена ставятся когда загружается скрипт браузером.

Blazkowicz,

Хрень в том что cors не настроен на загрузку скрипта, а только на ajax запросы. А в Network видно что куки того домена идут при загрузке скрипта. в AJAX я не ставлю куков никаких.

Blazkowicz,

Когда загружается скрипт браузером идет передача куков того домена. При этом на загрузку скрипта не стоит никакого cors-а. Как это можно убрать или поправить?

Petro123Petro123нафиг надо.тьфу ты. В фоксе? Тогда ладно))

Подскажете как быть?

Blazkowicz,

какие варианты решения такой проблемы есть?

Petro123,

это куки на chat2help.com

Petro123,

а это куки на sloyev.com

Petro123,

А это отправляются куки при загрузке скрипта

Blazkowicz,

так кука же ставится не при ajax, а когда скрипт загружается.

Blazkowicz,

поставил http-only. Теперь при загрузке js браузером куки не передаются

Tsyklop,

А нет. передаются куки.

Blazkowicz,

Мне нужно эту куку убрать 8O8488WlWWgNzAkGCFYAZyj3Bn91CR. Но её я задал http-only

Blazkowicz,

почистил кеш, убрал куки. Теперь при загрузке js куки не передаются, но в ответ от сервера теперь приходит кука такая же как и основном домене

Blazkowicz,
а AJAX причем?

Set-Cookie ставятся в ответ на загрузку скрипта браузером. И сервер ставит куку сессии. а вот почему - вопрос.

Petro123,

я в курсе. в AJAX так и есть. Но проблема не в AJAX, а в загрузке скрипта браузером, а там не ajax.

Blazkowicz,
что непонятного в том браузер загружает скрипт? чет вот не могу понять.

Blazkowicz,

Попробую поддомен.

Blazkowicz,

поддомен сработал. спасибо.