附带身份凭证的请求
一般而言,对于跨域 XMLHttpRequest
或 Fetch 请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置 XMLHttpRequest
的某个特殊标志位。
对于附带身份凭证的请求需要满足两个条件:
1. 服务器不得设置 Access-Control-Allow-Origin 的值为“*”。
Access-Control-Allow-Credentials: true
2. ajax请求设置withCredentials 为 true,具体如下
原生js:
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://*******');
xhr.withCredentials = true;
xhr.send();
jquery:
$.post({
url: ‘1747937498.PHP’,
data: {
appId: appId
},
dataType: "json",
timeout:300000,
xhrFields:{withCredentials: true},
success: function (result) {
},
error: function () {
}
});
Access-Control-Allow-Origin的作用在于,允许特定白名单用户(浏览器)访问我这个接口。当设置为 * 的时候,表示所有用户都能访问。如果值为 'http://xxx.com',则表示只接受来自这个域名的请求,其他的一律拒绝。
然而用了Access-Control-Allow-Credentials: true,就不能设置Access-Control-Allow-Origin:'*'了。
所以可以设置,当A用户进来的时候,我们设置A用户为白名单就好,同理B用户也是。也就是说,谁访问就把谁的域设置为白名单就可以了。
域名可以通过以下方式获取Access-Control-Allow-Origin
响应首部中可以携带一个 Access-Control-Allow-Origin
字段,其语法如下:
Access-Control-Allow-Origin: <origin> | *
其中,origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。
当开发者使用 XMLHttpRequest 对象发起跨域请求时,它们已经被设置就绪。Origin
首部字段表明预检请求或实际请求的源站。origin 参数的值为源站 URI。它不包含任何路径信息,只是服务器名称。