cookie跨域访问

浏览器对于javascript的同源策略（请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同.）的限制,例如a.cn下面的js不能调用b.cn中的js,对象或数据(因为a.cn和b.cn是不同域),但是在前后端分离时我们经常会把服务端和前端放到不同域上，这时就需要跨域了.今天记录的是cookie的跨域访问。

问题

在此之前一直以为传统的服务器使用session保存用户信息的方案在前后端分离时不能使用，无法获取请求的状态。
后面经过了解发现http本身就是无状态的，传统的session保存法也是因为服务端生成一个id返回给客户端保存在cookie中，客户端请求数据时将其通过请求头发给服务端，服务端再通过id找到具体数据即可。因此再跨域时只需能操作cookie就可以使用session了。恰好XMLHttpRequest对象提供了跨域接口withCredentials:跨域请求是否提供凭据信息(cookie、HTTP认证及客户端SSL证明等)。

---

实现

设置withCredentials开启需要服务器同意同时需要在AJAX请求中打开withCredentials属性

• 客户端

axios.defaults.withCredentials = true // 全局设置
axios.post('/kaptcha/getinspectKaptchaImage', { kaptcha: this.verify },{withCredentials:true}) // 局部设置

• 服务端

/*在响应头中设置方法*/
Access-Control-Allow-Credentials: true // 设置响应头
/*koa中设置方法*/
app.use(cors({credentials:true})); // koa2中中间件cors设置

---

注意事项

• 服务端在设置cookie时指定的域名为服务器所在域名
• 需要关闭mockjs的模拟数据功能