关于session跨域的理解其实也很简单,我们都知道保存cookie的时候里面就有一个是domain的设置。
|
假设有一个域名为 test.com,如果我们在 a.test.com 种下cookie,将其域设置为 .test.com,这时候我们发现可以在 b.test.com 下访问到该cookie值,但如果我们在 a.test.com 种下的cookie域设置为 a.test.com,这时候只有在 a.test.com 下才可以访问到,b.test.com下不能访问,这是cookie一种安全策略,暂且不去深入研究。
理解了cookie域安全问题,这时候再来理解session的跨域就很简单了,关键是理解PHPSESSID,没有设置 session.cookie_domain 的情况下(即默认设置为空),在 a.test.com 开启session_start(),会发现种下的 PHPSESSID 的域设置为了 a.test.com,所以在访问 b.test.com 的时候,不能访问到 a.test.com 下的session值,要解决session跨域访问的问题,只需要在 php.ini 中设置 session.cookie_domain 的值为顶级域名就可以了,这时候在这个域名下的子域名都可以共享PHPSESSID 值了,这里设置
|
清除所有的cookie缓存之后,重新测试,一切正常了。
