asp.net关于Cookie跨域（域名）的问题

Cookie堪称一项伟大的发明，它为Web开发者提供了一种持久化用户登录状态的方式。当网站存在多个域名时，问题便随之产生。按照Cookie的规范，一个Cookie只能用于一个特定的域名，无法被发送到其他域名。这意味着，如果你希望用户在访问你的某个域名站点并登录后，也能在其他域名站点上保持登录状态，将会面临不小的挑战。

为了解决跨域名使用Cookie的问题，我们首先需要了解跨二级域名的情况。在实际情况中，Cookie是可以跨二级域名进行访问的。例如，如果你在“.test1.”的Web应用程序中创建了一个Cookie，想要在其二级域名“bbs.test1.”的应用程序中使用这个Cookie，你需要在创建Cookie时设置domain参数为“test1.”。以ASP为例，具体的代码实现如下：

创建一个新的HttpCookie对象，设置名称为“name”，值为“.Admin10000.”，然后设置domain为“test1.”，路径为根目录“/”，最后将其添加到响应的Cookies集合中。

对于跨顶级域名的情况，比如在“.test1.”的Web应用程序中创建的Cookie想要在“.test2.”或其二级域名的应用程序中访问，情况就变得复杂了。我们知道常规的跨域访问是无法实现的，那么我们就要寻找一些可行的方法。事实上，在一定的条件下，Cookie是可以实现跨域访问的。为了实现这一过程并进行测试，我们需要模拟两个站点“.test1.”和“.test2.”的环境。我们可以通过修改系统的hosts文件来模拟这一过程。在系统的“c:\windows\system32\drivers\etc”目录下找到hosts文件，在末尾添加两行配置来模拟这两个域名对应的IP地址。然后在本机上部署一套程序，通过这两个域名来访问这个程序的页面。接下来我们创建几个页面进行测试，包括Default.aspx、SSO.ashx和GetCookie.aspx等页面。通过这一系列的操作和配置，我们可以在多个域名之间实现Cookie的跨域访问和管理。这样用户只需在一个站点登录后，就可以在其他的站点上保持登录状态了。深入前台与后台的交互：一段关于Cookie设置的代码之旅

当我们打开这个网页，首先遇到的是Default.aspx页面。乍一看，它的前台代码似乎相当简单，但实际上隐藏着许多秘密。让我们逐步揭开它的面纱。

Default.aspx页面的开头包含了一些服务器端的指令和HTML的声明。其中，有一个隐藏的iframe元素，它悄悄地指向SSO.ashx页面。当页面加载时，这个iframe会从服务器加载并执行其背后的代码。这个代码做什么呢？它创建了一个名为“name”的cookie，设置了它的属性，并将其添加到响应中。这个cookie的值是“.Admin10000.”并且有效期相当长（一万分钟）。值得注意的是，这个cookie的域名被设置为“test2.”这意味着该cookie只对这个域名有效。响应头中的“P3P”策略用于确保隐私和数据的保护。所有这些操作都在后台默默进行，用户无需知道背后的细节。

接下来，我们访问另一个页面GetCookie.aspx。这个页面同样没有前台代码，但它的后台代码会在页面加载时检查刚才创建的cookie是否存在。如果存在，它会将cookie的值写入响应中。这样我们就可以看到之前设置的cookie的值了。这个过程是在服务器端完成的，所以当用户访问这个页面时，他们会看到他们的cookie值被输出在网页上。

那么这个过程是如何工作的呢？简单来说，首先我们通过访问Default.aspx页面触发SSO.ashx后台代码创建一个cookie。然后当我们访问GetCookie.aspx页面时，这个cookie被识别并返回其值。这个过程是通过HTTP协议在服务器和客户端之间进行的，其中涉及到了HTTP请求和响应，以及cookies的创建、发送和接收。整个过程都是自动化的，无需用户的任何操作。这就是所谓的“静默登录”或“无感知登录”，用户可以在不知道背后细节的情况下完成登录过程或获取某些信息。这是一种常见的Web应用交互方式，特别是在需要跨域处理用户信息的情况下。在这个过程中，iframe起到了关键的作用，它允许我们在不刷新页面的情况下执行后台操作。cookies作为服务器和客户端之间传递信息的一种方式，起到了存储和识别用户信息的作用。在 `.test1.` 域下创建的 cookie 可以在 `.test2.` 域下顺利访问，这一特性为跨域 cookie 交互提供了可能。

需要注意的细节在于，admin10000 提示的 SSO.ashx 后台代码中有一行关键的代码：`context.Response.AddHeader("P3P", "CP=CAO PSA OUR");`。这是为了设置 P3P 响应头，解决 IE 浏览器因支持 P3P 而阻止 iframe 跨站点时的 cookie 创建问题。目前 FireFox 浏览器还不支持 P3P 安全特性，因此在 FireFox 中无需添加 P3P 响应头。

通过 iframe 的 src 属性，我们可以将 test1. 域下的 cookie 值作为 get 参数重定向到 test2. 域下的 SSO.ashx 页面。SSO.ashx 能够获取 test1. 域中传递的 cookie 值，并将其写入新的 cookie 中，从而实现了 cookie 的跨域访问。

除了上述方式，我们还可以采用 Default.aspx 页面以 JS 调用形式实现。页面的代码示例如下：

```html

<%@ Page Language="C" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="Admin10000.Web.Default" %>