一、关于Cookie
在我们关闭一个登录过的网址并重新打开它后,我们的登录信息依然没有丢失;当我们浏览了商品后历史记录里出现了我们点击过的商品;当我们推回到首页后,推荐商品也为我们选出了相似物品;事实上当我们有过此类操作后,浏览器会将我们的操作信息保存到cookie上面。总而言之,cookie就是储存在用户本地终端上的数据。
Cookie的特点
- cookie保存在浏览器本地,只要不过期关闭浏览器也会存在。
- 正常情况下cookie不加密,用户可轻松看到
- 用户可以删除或者禁用cookie
- cookie可以被篡改
- cookie可用于攻击
- cookie存储量很小,大小一般是
4k
- 只在同源的情况下
发送请求自动带上登录信息
浏览器不允许cookie跨域传递,cookie跨域携带的解决方案:
需要从2个方面解决:
服务器端:
- .
使用CROS协议解决
跨域访问数据问题时,需要设置响应消息头Access-Control-Allow-Credentials
值为“true”
。
同时,还需要设置响应消息头Access-Control-Allow-Origin
值为指定单一域名(注:不能为通配符“*”
)。
app.all('*', function(req, res, next) {
res.header("Access-Control-Allow-Origin", req.headers.origin); //如果要发送Cookie,就不能设为星号,必须指定明确的、与请求网页一致的域名
res.header("Access-Control-Allow-Credentials",true); //允许带cookies
next();
});
- 也可以直接使用cors中间件
(推荐)
客户端:
需要设置Ajax请求属性withCredentials=true
,让Ajax请求都带上Cookie。
- 对于XMLHttpRequest的Ajax请求
var xhr = new XMLHttpRequest();
xhr.open('GET', url);
xhr.withCredentials =