ajax跨域请求传递Cookie问题

最新推荐文章于 2023-09-11 16:05:19 发布
最新推荐文章于 2023-09-11 16:05:19 发布
阅读量2.6k 收藏 3
点赞数 1
分类专栏: web前端 文章标签: ajax
原文链接:https://blog.csdn.net/qq_29845761/article/details/51897705
版权

问题描述

前后端完全分离的项目,前端使用Vue + axios,后端使用SpringMVC,容器为Tomcat。
使用CORS协议解决跨域访问数据限制的问题,但是发现客户端的Ajax请求不会自动带上服务器返回的Cookie:JSESSIONID。
导致每一个Ajax请求在服务端看来都是一个新的请求,都会在服务端创建新的Session(在响应消息头中设置Set-Cookie:JSESSIONID=xxx)。
而在项目中使用了Shiro框架,用户认证信息是放在Session中的,由于客户端不会把JSESSIONID返回给服务器端,因此使用Session策略存放数据的方式不可用。

原因分析

实际上,这是浏览器的同源策略导致的问题:不允许JS访问跨域的Cookie。
举个例子,现有网站A使用域名a.example.com,网站B使用域名b.example.com,如果希望在2个网站之间共享Cookie(浏览器可以将Cookie发送给服务器),那么在设置的Cookie的时候,必须设置domain为example.com。

解决方案

需要从2个方面解决:
1.服务器端使用CROS协议解决跨域访问数据问题时,需要设置响应消息头Access-Control-Allow-Credentials值为“true”。
同时,还需要设置响应消息头Access-Control-Allow-Origin值为指定单一域名(注:不能为通配符“*”)。

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest)request;
    HttpServletResponse resp = (HttpServletResponse)response;
    
    String origin = req.getHeader("Origin");
    if(origin == null) {
        origin = req.getHeader("Referer");
    }
    resp.setHeader("Access-Control-Allow-Origin", origin);            // 允许指定域访问跨域资源
    resp.setHeader("Access-Control-Allow-Credentials", "true");       // 允许客户端携带跨域cookie,此时origin值不能为“*”,只能为指定单一域名
    
    if(RequestMethod.OPTIONS.toString().equals(req.getMethod())) {
        String allowMethod = req.getHeader("Access-Control-Request-Method");
        String allowHeaders = req.getHeader("Access-Control-Request-Headers");
        resp.setHeader("Access-Control-Max-Age", "86400");            // 浏览器缓存预检请求结果时间,单位:秒
        resp.setHeader("Access-Control-Allow-Methods", allowMethod);  // 允许浏览器在预检请求成功之后发送的实际请求方法名
        resp.setHeader("Access-Control-Allow-Headers", allowHeaders); // 允许浏览器发送的请求消息头
        return;
    }

    chain.doFilter(request, response);
}

2.客户端需要设置Ajax请求属性withCredentials=true,让Ajax请求都带上Cookie。

  • 对于XMLHttpRequest的Ajax请求
var xhr = new XMLHttpRequest();
xhr.open('GET', url);
xhr.withCredentials = true; // 携带跨域cookie
xhr.send();
  • 对于JQuery的Ajax请求
$.ajaxSetup({xhrFields: {//全局设置
    withCredentials: true
}});

$.ajax({
    type: "GET",
    url: url,
    xhrFields: {
        withCredentials: true // 携带跨域cookie  //单个设置
    },
    //crossDomain: true,
    //processData: false,
    success: function(data) {
        console.log(data);	
    }
});
  • 对于axios的Ajax请求
axios.defaults.withCredentials=true; // 让ajax携带cookie

【参考】
http://harttle.com/2016/12/28/cors-with-cookie.html CORS 跨域发送 Cookie
https://segmentfault.com/q/1010000009193446 vuejs (前端项目) + spring mvc(后台项目),每次ajax请求都是新的session Id
https://www.w3.org/TR/cors/ Cross-Origin Resource Sharing

 

PHP设置允许跨域

<?php
    header('Content-Type: text/html;charset=utf-8');
    header('Access-Control-Allow-Credentials:true'); // 设置是否允许发送 cookies
    header('Access-Control-Allow-Origin:'.(isset($_SERVER['HTTP_ORIGIN'])?$_SERVER['HTTP_ORIGIN']:'*')); // *代表允许任何网址请求
    header('Access-Control-Allow-Methods:POST,GET,OPTIONS,DELETE'); // 允许请求的类型
    header('Access-Control-Max-Age:1800');//单位秒,1800s=30分钟
    header('Access-Control-Allow-Headers:Content-Type,Content-Length,Accept-Encoding,X-Requested-with, Origin'); // 设置允许自定义请求头的字段
    //var_dump($_SERVER);
    setcookie("php","ok");
    echo json_encode($_COOKIE);
    if(isset($_GET['name'])){
        echo $_GET['name'];
    }else{
        echo "请求成功但。。。。";
    }
?>

 

ajax跨域请求及传递cookie

一、ajax跨域访问     

先要搞清楚什么是ajax跨域。看如下例子即可明白:

网站A:a.test.com 通过ajax请求网站B:b.test.com上的接口,很明显网站A和网站B 是两个不同的域,而处于安全机制,JS只能访问与所在页面同一个域(相同协议、域名、端口)的内容,但是我们在项目开发时,经常遇到一个页面的js代码,通过ajax去访问另一个服务器并返回数据,这就是ajax跨域访问的由来。

       跨域访问一般是被阻止的,因为在安全上有个规则:同源策略要求客户端和服务端都必须在一个域内才能通信。所谓同源也就是网站A和网站B必须是相同的域名。

如何解决ajax跨域,而让不相同的两个域之间通信呢?

目前提供最常见的两种方案:1. jsonp跨域请求. 2. CORS(Cross-Origin Resource Sharing)方案。

JSONP跨域请求方案:

1.type改成了get,JSONP只支持get请求,这个参数在JSONP场景下其实是可以忽略的,即使改成post,也会依然按get模式;
2.dataType改成了jsonp,这个参数标明要采用JSONP方式进行调用;
3.jsonp: “x5callback”,这个参数其实是一个约定的参数名,用于后端按照这个参数名获取一个回调函数名;
4.jsonpCallback:这个参数用来指定上面那个参数对应的回调函数名,如果不指定,jQuery会自动生成一个随机的函数名。


CORS方案

这个方案实现起来非常简单,只需要在服务端返回的头部信息中增加:

response.setHeader("Access-Control-Allow-Origin","http://b.test.com")

二、ajax跨域传递cookie

       理论上:

 $.ajax({
        headers: {'Cookie' : document.cookie },
        url: "sub.domain.com",
        success: function(){}
})
      通过修改请求头是可以传递cookie等信息的。但是w3c的标准写的很清楚,cookie,connection和content-length等是不安全的字段,容易导致多种的request smuggling攻击,不允许编程设置。这些字段浏览器会自动帮你设置,如果设置就会报出错误:“Refused to set unsafe header "Content-Length"。
 
    既然ajax跨域中直接设置请求头是不允许的,那么我们就必须在ajax请求发出之前就应该设置cookie,然后ajax请求时会自动去填充请求头header内容(其中cookie内容会自动从硬盘中读取)。同时服务器端也要做些返回头的修改:
        response.setHeader("Access-Control-Allow-Credentials","true");

前端ajax请求可以设置如下:
    document.cookie=“pin=test;domain=test.com;”;
    $.ajax({
       url:_url,
       type:"get",
       data:"",
        dataType:"json",
       xhrFields: {
          withCredentials: true
       },
       crossDomain: true,
   })

注意以上写法中关于cookie的domain.这要求cookie的域必须是两个子域的顶级域,才能被双方认可。

如果网站A是:a.test.cn, 网站B是:b.test.com,那么无论如何都不能实现A携带A的会话cookie发送ajax请求到网站B上(B端设置了Access-Control-Allow-Origin="test.cn",携带的始终是B的会话cookie)。
————————————————
版权声明:本文为CSDN博主「剑舞青城」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_29845761/article/details/51897705

转载于:https://blog.csdn.net/qq_29845761/article/details/51897705

               https://www.cnblogs.com/nuccch/p/7875189.html

 

liu__software
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ajax跨域请求以及传递cookie
Mount华的博客
08-25 4596
声明: 本文章是自己在开发过程遇到问题的经验总结以及结合其他文章的解决思路。 一、ajax跨域访问 什么是跨域? 这是因为浏览器的同源策略会导致跨域,只要协议,域名,端口有任何一个不同,都被当作是不同的域,之间的请求便为跨域操作。跨域访问一般是被阻止的,因为在安全上有个规则:同源策略要求客户端和服务端都必须在一个域内才能通信。比如网站A为a.test.com,网站B为b.test.com。...
axios Refused to set unsafe header has been blocked by CORS policy
未金涛的博客
11-23 6625
前言 事情是这样的,我准备复制一个资源下载类的网站。第一步肯定是爬取目标网站的资源了。我在用python写爬虫的时候,当我提取完网页中的基础数据之后。就发现,目标网站后面大部分的数据都是通过有规律的aip返回的json数据源。这个时候作为一个白飘党,我就在想能不能直接白嫖对面的api,直接拿来用呢?然后,在前端遇到了些问题,我感觉以我现在的技术水准无法解决。 前端axios请求示例 axios({ method: "post", // url: "https://msdn
设置Cookie请求头报错(Refused to set unsafe header "Cookie")
初心 - 杨瑞超个人博客
05-08 3万+
初心-杨瑞超个人博客诚邀您加入qq群(IT-程序猿-技术交流群): 757345416丨(IT-程序猿-技术交流2群): 936929828 w3c规定,当请求的header匹配以下不安全字符时,将被终止,具体参考如下: Accept-Charset Accept-Encoding Connection Content-Length Cookie Cookie2 C...
前端设置Cookie请求头报错 Refused to set unsafe headerCookie
最新发布
weixin_56530078的博客
09-11 1677
前端设置Cookie请求头报错 Refused to set unsafe header "Cookie"
Refused to set unsafe header "cookie"
weixin_34269583的博客
06-01 6554
axios做请求拦截的时候,加了个 this.$ajax.interceptors.request.use(config=&gt; { config.headers.Cookie = 'JSESSIONID=B8CC9786DD7EFA8DAD24E525F3442DF1' return config }) 复制代码然后报错Refused to set unsafe header ...
Refused to set unsafe header "Date"
绯浅yousa的笔记
03-08 6229
w3c规定,当请求的header匹配以下不安全字符时,将被终止 Accept-Charset Accept-Encoding Connection Content-Length Cookie Cookie2 Content-Transfer-Encoding Date Expect Host Keep-Alive Referer TE Tr...
解决ajax跨域请求数据cookie丢失问题
12-08
本文将深入探讨如何解决Ajax跨域请求cookie丢失的问题。 首先,理解同源策略是解决这个问题的关键。同源策略是一种安全机制,限制了浏览器中的JavaScript只能访问与其加载页面相同源(协议+域名+端口)的资源。...
ajax跨域请求demo.zip
02-20
这个"ajax跨域请求demo.zip"压缩包提供了一个关于如何实现Ajax跨域请求的示例,涉及到前后端的交互。 首先,我们关注"前端代码"部分。前端通常使用JavaScript库如jQuery来实现Ajax请求。jQuery的`$.ajax()`方法是...
jQuery.ajax 跨域请求webapi设置headers的解决方案
10-21
然而,有时候我们需要在跨域请求传递一些自定义的headers,如token用于身份验证。本文将详细介绍如何解决jQuery跨域请求WebAPI时设置headers的问题。 首先,解决跨域请求需要在服务器端进行设置。针对ASP.NET Web...
Ajax请求WebService跨域问题的解决方案
12-10
标题中的“Ajax请求WebService跨域问题的解决方案”指的是在Web开发中,当使用Ajax技术尝试从一个域名(源)向另一个域名(目标)的WebService发送请求时,由于浏览器的同源策略限制,会遇到跨域问题。同源策略是...
ASP.Net WebAPI与Ajax进行跨域数据交互时Cookies数据的传递
10-19
首先,我们需要理解为什么默认情况下,Ajax跨域请求无法获取Cookies。根据同源策略,JavaScript只能访问与当前页面同源(协议、主机和端口都相同)的资源,包括Cookies。但当WebAPI和前端应用分布在不同的二级域名下...
ajax错误重连,javascript - AJAX post error : Refused to set unsafe header "Connection" - Stack Overflow...
weixin_36090220的博客
08-05 754
I have the following custom ajax function that posts data back to a PHP file. Everytime the post of data happens I get the following two errors :Refused to set unsafe header "Content-length"Refused to...
AJAX同步POST访问servlet时 refuse to set unsafe header 'Content-length '
子弹上膛,重拾理想
05-28 3740
XMLHttpRequest 对象用于和服务器交换数据。 向服务器发送请求 如需将请求发送到服务器,我们使用 XMLHttpRequest 对象的 open() 和 send() 方法: xmlhttp.open("GET","test1.txt",true); xmlhttp.send(); 方法 描述 open(method,url,async) 规定请求的类...
Vue使用proxy提示 “Refused to set unsafe headerReferer“”
前端小白-Mr鹏帅
03-05 1万+
在调用另一个源节点接口的时候,报错提示“Refused to set unsafe header "Referer" 报错信息 经过查询发现是因为浏览器拒绝人为设置伪装的referer 正巧不巧,在用vue的proxy来进行跨域处理,由此记录一下用法。 这是在调用axios的方法 method:'post', url:"/api/v1/home/page", headers:{ 'Content-Type':'application/x-www-form-ur
解决axios请求cookie无法携带问题
Cousin__的博客
05-26 2747
在写代码时遇到了cookie无法传递导致axios请求无法请求到我的数据 然后找到了解决这个cookie问题: js-cookie: https://www.npmjs.com/package/js-cookie 可以访问这个链接 通过下载 npm install js-cookie --save 先下载下来 然后在组件内引入 import cookies from 'js-cookies' 然后通过set来设置我们的cookie Cookies.set('n...
EasyGBS客户调用token出现refuse to set unsafe headercookie”报错是什么原因?
EasyGBS的博客
08-31 691
TSINGSEE青犀视频对目前现有的云边端架构产品进行了token认证机制的修改,由于新版这个机制的更改,所以我们的集成调用的方式也发生了改变。在部分EasyGBS用户使用中,客户调用token会出现refuse to set unsafe headercookie”的问题,调用token失败,不能登录。 原本的机制中,token是写进cookie里面,每次就调用浏览器缓存就可以实现登录了,这种方式之前是可以正常调用的,但是新版谷歌浏览器无法跨域携带cookie了,因此此处调用会出现报错情况。
ajax跨域请求传递cookie
热门推荐
qq_29845761的博客
07-13 5万+
一、ajax跨域访问      先要搞清楚什么是ajax跨域。看如下例子即可明白: 网站A:a.test.com 通过ajax请求网站B:b.test.com上的接口,很明显网站A和网站B 是两个不同的域,而处于安全机制,JS只能访问与所在页面同一个域(相同协议、域名、端口)的内容,但是我们在项目开发时,经常遇到一个页面的js代码,通过ajax去访问另一个服务器并返回数据,这就是ajax跨域
如何解决 ajax 跨域问题
04-23
要解决 Ajax 跨域问题,可以采用以下方法: 1. 通过服务器端代理实现。 2. 使用 JSONP(JSON with Padding)方式进行跨域请求。 3. 设置响应头部的 Access-Control-Allow-Origin 字段,允许指定的域名访问。 4. 使用 HTML5 中的 postMessage() 方法实现跨域通信。 5. 在不同子域之间传递 Cookie 值。 6. 使用 WebSocket 进行跨域数据传输。 7. 使用反向代理服务器进行跨域请求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值