Mongoose项目中HTTP/HTTPS同时访问Web UI Dashboard的Cookie冲突问题解析

2025-05-20 10:06:04作者：管翌锬

Embedded Web Server

项目地址：https://gitcode.com/gh_mirrors/mon/mongoose

在Mongoose项目（版本7.14及7.15）的web-ui-dashboard参考实现中，开发人员发现了一个关于HTTP和HTTPS协议同时访问时的Cookie处理问题。这个问题表现为当用户同时通过HTTP和HTTPS访问同一个Web UI Dashboard时，HTTP连接下的部分页面内容无法正常显示。

问题现象

当服务器同时启用HTTP（端口8000）和HTTPS（端口8443）服务时：

单独使用HTTP访问时，所有功能页面（Dashboard、Settings、Firmware Update和Events）都能正常显示
一旦有用户通过HTTPS登录后，HTTP连接下的Dashboard、Settings和Events页面将显示为空白
通过HTTPS访问则始终能正常显示所有内容
当HTTPS用户注销后，HTTP访问又恢复正常

问题根源分析

经过深入排查，发现问题源于现代浏览器对Cookie安全策略的实施。具体机制如下：

当HTTPS连接设置了一个带有Secure属性的Cookie后
浏览器会阻止同一域名下HTTP连接设置同名的Cookie
在控制台会显示警告："尝试通过Set-Cookie标头设置Cookie的操作被禁止了，因为此标头不是通过安全连接发送的，而且会覆盖具有Secure属性的Cookie"
这导致HTTP连接无法成功设置access_token，后续请求中浏览器无法提供有效的认证令牌
服务器收到空令牌后返回403未授权响应，造成页面内容无法加载

解决方案

Mongoose项目团队提出了两种解决方案：

方案一：为HTTPS Cookie添加前缀（未成功）

最初尝试为HTTPS连接的Cookie值添加"s_"前缀：

mg_http_reply(c, 200, cookie, "{%m:%c%s%M%c}", 
              MG_ESC("user"), '"', c->is_tls ? "s_" : "", 
              MG_ESC(u->name), '"');

但这种方法未能解决问题，因为浏览器是根据Cookie名称而非值来进行安全策略判断的。

方案二：使用不同的Cookie名称（有效方案）

最终有效的解决方案是为HTTP和HTTPS连接使用完全不同的Cookie名称：

static void handle_login(struct mg_connection *c, struct user *u) {
  char cookie[256];
  const char *cookie_name = c->is_tls ? "secure_access_token" : "access_token";
  mg_snprintf(cookie, sizeof(cookie),
              "Set-Cookie: %s=%s; Path=/; "
              "%sHttpOnly; SameSite=Lax; Max-Age=%d\r\n",
              cookie_name, u->access_token, 
              c->is_tls ? "Secure; " : "", 3600 * 24);
  mg_http_reply(c, 200, cookie, "{%m:%m}", MG_ESC("user"), MG_ESC(u->name));
}

这个方案通过以下方式解决问题：

HTTPS连接使用"secure_access_token"作为Cookie名
HTTP连接继续使用"access_token"作为Cookie名
两种连接的Cookie互不干扰，避免了浏览器的安全策略限制

技术背景延伸

这个问题的出现与现代Web安全机制密切相关：

Secure Cookie属性：标记为Secure的Cookie只能通过HTTPS连接传输，防止中间人攻击
同源策略：虽然HTTP和HTTPS被视为不同协议，但浏览器对同一域名的Cookie处理有特殊规则
Cookie覆盖保护：浏览器防止低安全性的连接覆盖高安全性的Cookie，这是重要的安全特性

最佳实践建议

在实现同时支持HTTP和HTTPS的Web服务时，开发者应当：

为不同安全级别的连接使用不同的Cookie名称
确保HTTPS连接的Cookie始终设置Secure属性
考虑逐步淘汰HTTP支持，全面转向HTTPS
在必须支持双协议的场景下，做好充分的兼容性测试

这个问题展示了Web安全机制与实际业务需求之间的平衡考量，也体现了Mongoose项目团队对安全细节的重视。通过这个案例，开发者可以更好地理解现代浏览器安全策略对Web应用设计的影响。

Embedded Web Server

项目地址：https://gitcode.com/gh_mirrors/mon/mongoose

登录后查看全文

热门内容推荐

1 freeCodeCamp JavaScript高阶函数中的对象引用陷阱解析 2 freeCodeCamp全栈开发课程中测验游戏项目的参数顺序问题解析 3 freeCodeCamp英语课程视频测验选项与提示不匹配问题分析 4 freeCodeCamp音乐播放器项目中的函数调用问题解析 5 freeCodeCamp 课程中关于角色与职责描述的语法优化建议 6 freeCodeCamp博客页面工作坊中的断言方法优化建议 7 freeCodeCamp猫照片应用教程中的HTML注释测试问题分析 8 freeCodeCamp论坛排行榜项目中的错误日志规范要求 9 freeCodeCamp课程页面空白问题的技术分析与解决方案 10 freeCodeCamp课程视频测验中的Tab键导航问题解析

最新内容推荐

Media Chrome项目动态语言切换机制解析与实现 Aleph项目中文档转换超时机制优化方案 StartBootstrap Clean Blog主题中Markdown图片排版问题解决方案 DEDA项目中的NumPy对象类型兼容性问题解析 EasyNLP项目中FreePromptEditing图像编辑技术解析 h5py项目：HDF5文件签名丢失问题的分析与解决 BlueMap项目中SQL存储模式下标记管理的最佳实践 MaiMBot项目中颜文字处理机制的技术分析与优化方案 Marlin固件配置中A4982驱动器的兼容性问题解析 EasyR1项目自定义数据集与奖励函数配置指南

项目优选

收起

Cangjie-Examples

本仓将收集和展示高质量的仓颉示例代码，欢迎大家投稿，让全世界看到您的妙趣设计，也让更多人通过您的编码理解和喜爱仓颉语言。

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

ohos_react_native

React Native鸿蒙化仓库

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer（第 2 版）》、《程序员面试金典（第 6 版）》题解

openGauss-server

openGauss kernel ~ openGauss is an open source relational database management system

HarmonyOS-Examples

本仓将收集和展示仓颉鸿蒙应用示例代码，欢迎大家投稿，在仓颉鸿蒙社区展现你的妙趣设计！

旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件，通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求，让密码技术应用更简单，同时探索后量子等先进算法创新实践，构建密码前沿技术底座！

🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端

前端智能化场景解决方案UI库，轻松构建你的AI应用，我们将持续完善更新，欢迎你的使用与建议。官网地址：https://matechat.gitcode.com

ArkAnalyzer-HapRay

ArkAnalyzer-HapRay 是一款专门为OpenHarmony应用性能分析设计的工具。它能够提供应用程序性能的深度洞察，帮助开发者优化应用，以提升用户体验。