Nginx反向代理理解誤區(qū)之proxy_cookie_domain

岳光發(fā)布于2019-07-25 14:38 / 1605人閱讀

摘要：但是對(duì)于一些設(shè)置了的項(xiàng)目，比如這種情況下當(dāng)你用做反向代理的時(shí)候，就必須要轉(zhuǎn)換一下了。多學(xué)習(xí)，多去關(guān)注一些底層的原理，才會(huì)發(fā)現(xiàn)自己理解的錯(cuò)誤，望諸君共勉如果錯(cuò)誤，歡迎指出

基本內(nèi)容

Nginx做反向代理的時(shí)候，我們一般習(xí)慣添加proxy_cookie_domain配置，來(lái)做cookie的域名轉(zhuǎn)換，比如

...
location /api {
   proxy_pass https://b.test.com;
   proxy_cookie_domain b.test.com  a.test.com;
}       
...

在之前的博客中我也是這么寫(xiě)的，但是最近在項(xiàng)目中發(fā)現(xiàn)，不配置這個(gè)屬性，依然運(yùn)轉(zhuǎn)正常，背后冷風(fēng)陣陣，我發(fā)現(xiàn)自己一直以來(lái)可能又理解錯(cuò)了這個(gè)選項(xiàng)，然后還在這給別人講。。。

我們首先來(lái)看下proxy_cookie_domain的官方定義，

Syntax: proxy_cookie_domain off;
proxy_cookie_domain domain replacement;
Default:
proxy_cookie_domain off;
Context: http, server, location
This directive appeared in version 1.1.15.

Sets a text that should be changed in the domain attribute of the “Set-Cookie” header fields of a proxied server response. Suppose a proxied server returned the “Set-Cookie” header field with the attribute “domain=localhost”. The directive proxy_cookie_domain localhost example.org will rewrite this attribute to “domain=example.org”.

翻譯過(guò)來(lái)就是proxy_cookie_domain參數(shù)的作用是轉(zhuǎn)換response的set-cookie header中的domain選項(xiàng)，由后端設(shè)置的域名domain轉(zhuǎn)換成你的域名replacement，來(lái)保證cookie的順利傳遞并寫(xiě)入到當(dāng)前頁(yè)面中，注意proxy_cookie_domain負(fù)責(zé)的只是處理response set-cookie頭中的domain屬性，僅此而已。

但是我們知道response在寫(xiě)set-cookie的時(shí)候，domain是一個(gè)可選項(xiàng)，并不是必填項(xiàng)，所以經(jīng)常能看到如下這種情況

這個(gè)時(shí)候由于set-cookie本身就沒(méi)有domain內(nèi)容，proxy_cookie_domain也就不沒(méi)有必要了，這也是為什么在部分項(xiàng)目中不配置proxy_cookie_domain依然正常的原因。但是對(duì)于一些設(shè)置了domain的項(xiàng)目，比如

這種情況下當(dāng)你用nginx做反向代理的時(shí)候，就必須要轉(zhuǎn)換一下了。

誤區(qū)回溯

說(shuō)到這里，我們?cè)倏纯粗暗腻e(cuò)誤理解：

“proxy_cookie_domain的作用是實(shí)現(xiàn)前后端cookie域名轉(zhuǎn)換，保證順利傳遞”

乍一看好像也沒(méi)錯(cuò)，但是現(xiàn)在想想，理解還是不夠啊，因?yàn)閜roxy_cookie_domain的作用是單向的，并不是雙向轉(zhuǎn)換的。我們先看下cookie的傳遞過(guò)程，盜一張圖先(懶得畫(huà)了。。。)

瀏覽器在發(fā)送請(qǐng)求的時(shí)候，會(huì)在request header中帶上cookie項(xiàng)(有內(nèi)容的話)，此時(shí)的cookie是一個(gè)字符串，一個(gè)key=value并用分號(hào)分割的字符串，

其中并不包含任何域名信息。這是因?yàn)闉g覽器在設(shè)置cookie選項(xiàng)的時(shí)候，所選取的內(nèi)容都是緩存中接口域名下的。然后request的只要請(qǐng)求發(fā)送出去之后，cookie中有關(guān)domain信息其實(shí)是不存在的，它只是一個(gè)普通的字符串，隨便proxy_pass到任何位置，都會(huì)正常攜帶下去。因此在前端到后端的request的過(guò)程中，proxy_cookie_domain是沒(méi)用的

而server端在做響應(yīng)的時(shí)候，通過(guò)set-cookie的domain屬性，可以控制cookie的生效域名目標(biāo)，做到諸如二級(jí)域名cookie分離等等，如果前端接收到的set-cookie的domain和當(dāng)前域名不一致，或者一級(jí)域名不一致(二級(jí)域名可以共享一級(jí)域名下的cookie)，這個(gè)cookie在后續(xù)的通信中就是無(wú)效的，所以這里才需要去做domain的轉(zhuǎn)換，也就是說(shuō)response中set-cookie的domain轉(zhuǎn)換才是有意義的，這也正是proxy_cookie_domain的作用所在。
當(dāng)reseponse的set-cookie中domain不去設(shè)置時(shí)，cookie順利傳入瀏覽器中，瀏覽器會(huì)自動(dòng)設(shè)置這個(gè)cookie的生效域名為當(dāng)前域名。

和這個(gè)類似的還有proxy_cookie_path屬性，同樣的該屬性僅作用在修改response set-cookie的path屬性，而一般情況下，用的也比較少。

嘮叨兩句

很多問(wèn)題，有時(shí)候都是太過(guò)理所當(dāng)然的以為它是怎么樣的，并且生效了、達(dá)到目的了，我們就認(rèn)為它是這樣的了，但往往大臉就會(huì)在后面不期而至。多學(xué)習(xí)，多去關(guān)注一些底層的原理，才會(huì)發(fā)現(xiàn)自己理解的錯(cuò)誤，望諸君共勉～
如果錯(cuò)誤，歡迎指出～