跨域时(cross-origin),XMLHttpRequest.withCredentials对cookie的影响

最新推荐文章于 2024-05-19 08:00:22 发布
最新推荐文章于 2024-05-19 08:00:22 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: JavaScript 文章标签: XMLHttpRequest withCredentials cross-origin 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iceman1952/article/details/87926930
版权

本文参考了:https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/withCredentials

 

概述

XMLHttpRequest.withCredentials不止控制着 browser-->server的request中 是否携带credentials信息,还控制着前端JavaScript如何使用 server-->browser的reponse中 的credentials信息。

这里的“credentials”是指下面三种信息

1. cookies

2. authorization headers

3. TLS client certificates

 

下面,我们以cookie为例,分各种情况看下XMLHttpRequest.withCredentials的具体作用

XMLHttpRequest 不跨域 时

XMLHttpRequest.withCredentials的值没有任何作用。

XMLHttpRequest 跨域 时

// 注意:当前位于domain1上,我们跨域请求domain2的资源
var org = {"p1":201989,"p2":17888889999};
$.ajax(
        {
            url:'http://domain2/wechatpack/test/hi',
            type:'post',
            dateType:'json',
            headers:{'Accept': 'application/json, text/javascript, */*; q=0.01'},
            crossDomain: true,
            xhrFields: {
                  withCredentials: true
            },
            data:JSON.stringify(org),
            success:function(data){console.log("sucess");},
            error:function(data){console.log("error");}
        }
);

上面代码,当前在domain1上,发送跨域请求XMLHttpRequest xhr请求domain2的资源,并得到响应rsp,则:

无论xhr.withCredentials是什么值

  1. xhr永远不携带 domain1的cookie。
  2. rsp永远无法设置 domain1的cookie。

xhr.withCredentials==false时(默认)

  1. xhr中不携带 domain2的cookie(即不携带所请求的域的cookie)。
  2. rsp无法设置 domain2的cookie。

xhr.withCredentials==true

  1. xhr中携带了 domain2的cookie(即携带了所请求的域的cookie)。
  2. rsp可以设置 domain2的cookie。
  3. domain2的cookie,包括返回的rsp中所设置的 domain2的cookie,以及browser已经设置给 domain2的cookie,依然遵循同源策略。也就是说: 
    1. 前端JavaScript代码(注意:当前位于domain1上)无法访问返回的rsp中所设置的 domain2的cookie。 
    2. 前端JavaScript代码(注意:当前位于domain1上)无法通过document.cookie访问到已经设置给 domain2的cookie。

XMLHttpRequest.withCredentials
雾里看花叹朦胧
03-12 3452
XMLHttpRequest.withCredentials属性是一个布尔值,表示请求,用户信息(比如 Cookie 和认证的 HTTP 头信息)是否会包含在请求之中,默认为false,即向 example.com 发出请求,不会发送 example.com 设置在本机上的 Cookie(如果有的话)。 如果需要 AJAX 请求发送 Cookie,需要withCredentials...
XMLHttpRequest.withCredentials 解决请求头无Cookie的问题
Justicky
01-07 4376
XMLHttpRequest.withCredentials  属性是一个Boolean类型,它指示了是否该使用类似cookies,authorization headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个站点访问控制(cross-site Access-Control)请求。在同一个站点下使用withCredentials属性是无效的。 此外,这个指示也会被用做响应中...
Cross Domain XmlHttpRequests (http://benreichelt.net/blog/2005/4/11/Cross-Domain-XmlHttpRequests-Aja...
diaogeng5745的博客
10-06 176
Cross Domain XmlHttpRequests (Ajax) 11 Apr, 2005 Uncategorized One problem you run into when using client side xml calls is the issue of gettingsome xml from a different domain....
xmlhttp中withcredential用法
codemami的博客
05-19 704
需要注意的是,为了让withCredentials属性生效,服务器端必须显式返回Access-Control-Allow-Credentials这个头信息,并且其值必须设置为true。总结来说,withCredentials属性在XMLHttpRequest中用于控制请求是否携带凭据,通过将其设置为true,可以在请求中传递用户的认证信息,但需要注意服务器端的设置和响应头信息的配置。withCredentials属性的默认值为false,意味着在默认情况下,请求不会携带凭据。
XMLHttpRequestwithCredentials属性
weixin_33825683的博客
03-09 8269
最近对接第三方网站出现一下错误:Access to XMLHttpRequest at 'https://third.site.com/request_url' from origin 'https://main.site.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' hea...
深入浅出FE(三)Cross-Origin
前端产品工程师
02-17 834
目录 1. 是什么 2. 为什么有 2.1 防止csrf攻击 2.2 防止xss攻击 3. 解决方案? 3.1jsonp 3.2 "资源共享"(Cross-origin resource sharing)CROS 3.3 document.domain + iframe 3.4window.name + iframe 3.5 location.ha...
问题
hhhh
05-02 538
问题 MDN Web Docs 中定义,当一个资源从与该资源本身所在的服务器不同的或端口不同的或不同的端口请求一个资源,资源会发起一个 HTTP 请求。 即访问了一个网站,然后在这个网站返回的资源里面,请求了B网站/端口的资源。 这个情况只会出现在浏览器页面里,因为实际上是浏览器由于安全原因限制了这些请求的访问。 CSRF攻击,如果前端可以,那: 用户访问A,生成cookie存储在本地,点击弹窗广告进入地址B,B网站可以在自己的页面中获取A的cookie,然后模拟用户登录 同源
资源共享 CORS(Cross-origin resource sharing)
u012125579的专栏
03-23 8084
资源共享 CORS(Cross-origin resource sharing)一、简介 CORS需要浏览器和服务器同支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求源,就会自动添加一些附加的头信息,有还会
Access-Control-Allow-Origin问题的终极解决,给自己做备份
10-16
2. 前端配置:在前端,使用现代的Fetch API或XMLHttpRequest,可以通过设置withCredentials标志,配合服务器端设置Access-Control-Allow-Credentials,实现带有Cookie请求。 3. 预检请求(Preflight ...
02 【axios fetch
DSelegent的博客
10-28 609
02 【axios fetch
解决XMLHttpRequest异步请求接口中,出现的cookie不存在问题
Zsigner的博客
07-22 6561
借鉴文章:https://www.cnblogs.com/limeiky/p/6927305.html 运用JS设置cookie、读取cookie、删除cookie JavaScript是运行在客户端的脚本,因此一般是不能够设置Session的,因为Session是运行在服务器端的。 而cookie是运行在客户端的,所以可以用JS来设置cookie. 假设有这样一种情况,在某个用例流程中,由...
使用油猴的GM_xmlhttpRequest发送带Cookie的请求
InfSein的博客
07-09 4570
使用油猴的GM_xmlhttpRequest发送带Cookie的请求
ajax、XMLHttpReques导出 请求携带cookie
weixin_46463643的博客
12-31 850
var timestamp = new Date().getTime(); var xmlResquest = new XMLHttpRequest(); xmlResquest.open('POST', _this.hnss + `/sheshui/yjjc/exportCompanyList?pageNum=${_this.page}&pageSize=${_this.pageSize}`); xmlResquest.setRequestHeader('Co.
(cross-domain)访问 cookie (读取和设置)
冯友华的专栏
06-29 534
Passport 一方面意味着用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的漫游到其他服务里面去。坦白说,目前 sohu passport 在这一点实现的很烂(不过俺的工作就是要把它做好啦,hehe) 搜狐的 SSO 需求比较麻烦,因为它旗下有好多名:sohu.com、chinaren.com、sogou.com、focus.cn、17173.com、go2map....
面试重点 ajax的核心API - XMLHttpRequestcookie
Super Livia
09-11 524
知识点: XMLHttpRequest 状态码:readyState status cors jsonp 手写一个简易的ajax get post 用promise 上面没写send会报错 什么是(同源策略) ajax请求,浏览器要求当前网页和server必须同源(安全) 同源:协议,名,端口,三者必须一致 前端:http://a.com:8080/;server:https://b.com/api/xxx 注意:加载图片
使用XMLHttpRequest发送请求无法携带Cookie
热门推荐
u011674895的博客
11-10 1万+
使用XMLHttpRequest发送请求无法携带Cookie 最近在项目里设计了一段JS,需要客户网站嵌入这段JS,然后使用XMLHTTPRequest发送请求,但是发现请求中无法携带Cookie。 经过研究发现XMLHTTPRequest发送请求是无法携带Cookie的,即使使用了setRequestHeader方法是设置请求头里的cookie,也无法携带cookie。 var xhr = ne...
你真的会使用XMLHttpRequest吗?
weixin_33885676的博客
01-17 3682
看到标题,有些同学可能会想:“我已经用xhr成功地发过很多个Ajax请求了,对它的基本操作已经算挺熟练了。” 我之前的想法和你们一样,直到最近我使用xhr踩了不少坑儿,我才突然发现其实自己并不够了解xhr,我知道的只是最最基本的使用。于是我决定好好地研究一番xhr的真面目,可拜读了不少博客后都不甚满意,于是我决定认真阅读一遍W3C的X...
XMLHttpRequest使用指南大全
吴孔云的博客
01-10 8139
Ajax和XMLHttpRequest 我们通常将Ajax等同于XMLHttpRequest,但细究起来它们两个是属于不同维度的2个概念。 以下是我认为对Ajax较为准确的解释:(摘自what is Ajax) AJAX stands for Asynchronous JavaScript and XML. AJAX is a new technique for creating
HTTP篇之cookie设置
richardman的专栏
06-13 3181
前台代码: var xhr = new XMLHttpRequest(); xhr.open('GET','http://localhost:3000/list'); xhr.withCredentials = true; xhr.send(); XMLHttpRequest发送请求需要设置withCredentials属性为true,来允许浏览器在自己的设置cookie值。 如果withCredentials没有设置为true,就会出现Response Headers有Set-Cookie,但
服务端设置响应头允许特定来源的请求。客户端发起POST请求,需要在XMLHttpRequest中设置withCredentials属性,并启用CORS支持。
最新发布
10-22
客户端(通常是在JavaScript中)发起POST请求,需要通过XMLHttpRequest对象来实现。首先,需要在构造函数中将`withCredentials`属性设置为`true`: ```javascript var xhr = new XMLHttpRequest(); xhr....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值