允许跨域资源共享(CORS)携带 Cookie (转载)

最新推荐文章于 2024-02-28 01:36:46 发布
最新推荐文章于 2024-02-28 01:36:46 发布
阅读量710 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/OpenCoder/p/9915214.html
版权

如何让CORS携带Cookie

 

CORS 是一个 W3C 标准,全称是“跨域资源共享”(Cross-origin resource sharing)。
默认浏览器为了安全,遵循“同源策略”,不允许 Ajax 跨域访问资源,而为了允许这种操作,服务器端和客户端都要遵循一些约定。
服务器端需设置以下响应头:

Access-Control-Allow-Origin: <origin> | * // 授权的访问源 
Access-Control-Max-Age: <delta-seconds> // 预检授权的有效期,单位:秒 
Access-Control-Allow-Credentials: true | false // 是否允许携带 
Cookie Access-Control-Allow-Methods: <method>[, <method>]* // 允许的请求动词 
Access-Control-Allow-Headers: <field-name>[, <field-name>]* // 额外允许携带的请求头 
Access-Control-Expose-Headers: <field-name>[, <field-name>]* // 额外允许访问的响应头

我们看到,Access-Control-Allow-Credentials 响应头会使浏览器允许在 Ajax 访问时携带 Cookie。其对应了ASP.NET Core的如下中间件设置:

app.UseCors(builder => builder.AllowAnyOrigin().AllowAnyHeader().AllowAnyMethod().AllowCredentials());

 

此外在客户端浏览器中,我们仍然需要对 XMLHttpRequest 设置其 withCredentials 参数,才能实现携带 Cookie 的目标。示例代码如下:

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

注意,为了安全,标准里不允许 Access-Control-Allow-Origin: *,必须指定明确的、与请求网页一致的域名。同时,Cookie 依然遵循“同源策略”,只有用目标服务器域名设置的 Cookie 才会上传,而且使用 document.cookie 也无法读取目标服务器域名下的 Cookie。

 

 

如何让Jquery的AJAX使用CORS时携带Cookie

 

跨域请求想要带上cookies必须在请求头里面加上xhrFields: {withCredentials: true}设置。

$.ajax({
    url: "http://localhost:8080/orders",
    type: "GET",
    xhrFields: {
        withCredentials: true
    },
    success: function (data) {
        render(data);
    }
});

 

 

参考文献:

允许跨域资源共享(CORS)携带 Cookie

Jquery Ajax设置withCredentials解决跨域请求

 

转载于:https://www.cnblogs.com/OpenCoder/p/9915214.html

anyi2404
关注
【SpringBoot笔记20】SpringBoot跨域问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
11-01 1884
跨域问题,是指:浏览器发起了一个不在当前域名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、域名、端口下的才能够访问跨域问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现跨域了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,跨域报错如下所示:上面案例是前端【】这个域,通过ajax访问【】域的时候,浏览器抛出的跨域异常信息。
Spring Boot CORS跨域资源共享实现方案
JessicaWin
07-25 561
cors
jquery + node 通过 CORS 实现跨域访问,支持cookie和自定义header
jyk 金色海洋工作室 ASP.NET经验总结
07-30 1863
  跨域有多种方式,现在的情况看来还是CORS更适合一些,有很多优点,比如浏览器正式支持、支持post、可以控制跨域访问的网站等。   我们来看看node如何实现cors方式的跨域。在网上找到了一些代码,考过来之后运行报错,可能这个是在express里面的写法吧,那么原生的写法是什么样子的呢?又找了半天,并且经过测试得到了原生的写法: express的写法: ---app.js...
CORS跨域携带Cookie
九城科技 博客:https://blog.minkse.cn/
07-15 921
遇到的问题: 某个老系统使用Vue+Axios+PHP开发,本身是部署在同一域名下 这时候不会涉及到跨域问题 但是奈何线上服务器宽不够用,且JS、CSS、图片等静态资源加载很缓慢 只能把静态资源迁移到阿里云的OSS存储对象里 导致现在出现了跨域,而且无法携带Cookie,因为是老系统,不太可能改成类似JWT的形式 abc.com指向了OSS的静态地址用于打开前端页面 而JS请求的后台接口地址变成了api.com 这时候后台在header头返回了Set-Cookie也没用 因为同源策略,浏
允许跨域资源共享CORS携带 Cookie
pure_light's Blog
04-08 2834
转载自:https://my.oschina.net/tridays/blog/758994摘要: `Access-Control-Allow-Credentials` 响应头会使浏览器允许在 Ajax 访问时携带 Cookie,但我们仍然需要对 XMLHttpRequest 设置其 `withCredentials` 参数,才能实现携带 Cookie 的目标。CORS 是一个 W3C 标准,全称...
CORS跨域不能携带cookie的问题
IT部落格
04-30 3452
环境 Chrome浏览器100.0.4896.127正式版 前言 最近在做web需求时,遇到了一个跨域的问题: 浏览器有一个cookie,这个cookie的domain是.rocky.com,path是/。 网页域名是 www.rocky.com,网页会使用ajax请求sub.rocky.com域名下的一个接口获取数据,奇怪的是,在请求ajax接口时浏览器没有在请求头里cookie。 最后通过网上查资料得知,原来这个ajax请求跨域了,原因是接口域名(sub.rocky.com)跟网页域名( www.r
如何使用CORS允许设置Cookie
最新发布
高性价比服务器就选:蓝易云
02-28 396
以上就是使用CORS允许设置Cookie的方法。
[SpringBoot+Ajax]跨域资源共享CORS前后端分离简单演示样例.rar
11-30
总结,这个"SpringBoot+Ajax]跨域资源共享CORS前后端分离简单演示样例"旨在帮助开发者理解并实践CORS在SpringBoot后端和Ajax前端中的应用,解决跨域问题,提升Web应用的开发效率和用户体验。通过学习和运行这个样例...
跨域资源共享CORS协议介绍
03-07
跨域资源共享CORS)是一种安全机制,允许一个域(网站)上的Web应用访问另一个域上的资源。随着Web应用变得越来越复杂,为了增强用户体验,经常需要在一个域名下发起对另一个域名的HTTP请求。CORS的出现解决了...
CORS跨域资源共享漏洞
墨鱼菜鸡
01-16 207
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,...
跨域CORS请求携带cookies
u010935773的博客
03-08 858
@TOC跨域CORS请求携带cookies 跨域CORS请求携带cookies Cookie 简介 cookie是存储于访问者的计算机中的变量。可以让我们用同一个浏览器访问同一个域名的时候共享数据。 HTTP 是无状态协议。简单地说,当你浏览了一个页面,然后转到同一个网站的另一个页 面,服务器无法认识到这是同一个浏览器在访问同一个网站。每一次的访问,都是没有任何 关系的。 Koa Cookie 的使用 1、Koa 中设置 Cookie 的值 ctx.cookies.set(name, value, [o
CORS跨域以及Cookie跨域
xxxmen008的博客
08-06 195
@CORS跨域以及Cookie跨域 CORS跨域以及Cookie跨域 一、CORS跨域 首先跨域可以理解为指的并不是同一个项目!!! 举例: 本地同时部署两个web项目:web1,web2 域名分别是http://localhost:8081和http://localhost:8082 web1中向web2发起请求即为跨域! 此时浏览器会询问web2是否接受web1的请求(这里是一个options请求预检)。 如果web2中配置了允许web1的请求则可以正常响应,否则拒绝响应。 二、cookie跨域
前后端跨域请求处理以及携带cookie CORS实现(koa2)
qq_33358824的博客
06-14 7652
首先,一个较大的web项目一般是由前端跟后台两方开发。为了解耦,一般是前端开发页面,后端开发接口然后部署到服务器上。前端使用Ajax访问服务端接口。这时候一般需要一个Restful API 来规定接口格式(接口文档)。而且因为Http协议是无状态的,如果遇到标识用户身份(比如登陆)的需要,需要cookie session来验证。面对这种跨域需求。我们可以通过cors来实现。具体理论 http://...
Cors跨域(二):实现跨域Cookie共享的三要素
架构师:通透,才能写出好代码!
06-17 1823
高考不努力,工地里当兄弟
Asp.net Core配置CORS 跨域无效(记录一下)
李的博客
07-23 1477
.net 前后端分离 Cors 跨域
后端跨域
southCopy的博客
07-17 157
后端跨域 1.设置请求头跨域 const express = require(‘express’); const port = 4000; const host = ‘localhost’; const app = express(); //得到一个app对象 app.get(’/server’, (req,res,next) => { ...
跨域的三种方式
加油小伙子
07-27 553
1.使用cors用后端的方式实现跨域,koa-cors app.use(cors({ origin: 'http://localhost:8080', // 支持跨域访问的域名 credentials: true // 允许跨域 cookie })) 2.使用jsonp 实现前端跨域 let url = 'https://xxxxx' jsonp(url,(err,res)=>{ }) 3.接口代理,通过修改nginx服务器来实现(前端修改,后台不动) ...
深入剖析.NETCORE中CORS(跨站资源共享
farway000的博客
04-04 507
前言由于现代互联网的飞速发展,我们在开发现代 Web 应用程序中,经常需要考虑多种类型的客户端访问服务的情况;而这种情况放在15年前几乎是不可想象的,在那个时代,我们更多的是考虑怎么把网页快速友好的嵌套到服务代码中,经过服务器渲染后输出HTML到客户端,没有 iOS,没有 Android,没有 UWP。更多的考虑是 防止 XSS,在当时的环境下,XSS一度成为各个站长的噩梦,甚至网站开发的基本要求...
Asp .Net Core 系列: 集成 CORS跨域配置
程序人生
01-11 2432
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
SpringBoot配置CORS实现跨域访问详解
"本文主要介绍了如何在SpringBoot框架下实现前后端分离的跨域访问,重点讲解了CORS跨域资源共享)的工作原理和配置方法。" 在SpringBoot中处理跨域访问问题,主要是通过CORS(Cross-OriginResourceSharing)机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值