CORS跨域不能携带cookie的问题

已于 2022-04-30 15:20:17 修改
阅读量3.2k 收藏 7
点赞数
分类专栏: 其它 PHP 文章标签: 跨域 CORS cookie
于 2022-04-30 15:17:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljfrocky/article/details/124512637
版权
PHP 同时被 2 个专栏收录
66 篇文章 0 订阅
订阅专栏
其它
21 篇文章 1 订阅
订阅专栏

环境

Chrome浏览器100.0.4896.127正式版

前言

最近在做web需求时,遇到了一个跨域的问题:
浏览器有一个cookie,这个cookie的domain是.rocky.com,path是/

网页域名是 www.rocky.com,网页会使用ajax请求sub.rocky.com域名下的一个接口获取数据,奇怪的是,在请求ajax接口时浏览器没有在请求头里带上cookie。

最后通过网上查资料得知,原来这个ajax请求跨域了,原因是接口域名(sub.rocky.com)跟网页域名( www.rocky.com)不一样。

之前我天真的以为,只要主域名相同就不算跨域,其实是错误的。

而我们使用的跨域方式是CORS,这种跨域方式默认情况下是不携带cookie的,于是就有了上面的问题。如果想要携带cookie,需要在js代码做下配置,下面以jquery为例:

$.ajax({
	url: "http://sub.rocky.com/demo/jquery_qrcode/api.php",
	type: "get",
	xhrFields: {
		withCredentials: true
	},
	success: function () {
		console.log("请求成功");
	}
});

需要加上 withCredentials: true 这一个配置。但是,将withCredentials设置为true后,后端的接口必须要返回Access-Control-Allow-Credentials: true的响应头,而且access-control-allow-origin响应头的值不能为*,需要改为网页的域名,在我这个例子中是http://www.rocky.com

Access-Control-Allow-Credentials: true
access-control-allow-origin: http://www.rocky.com

如果access-control-allow-origin的值是*的话,浏览器会报错:

Access to XMLHttpRequest at 'http://sub.rocky.com/demo/jquery_qrcode/api.php' from origin 'http://www.rocky.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

如果Access-Control-Allow-Credentials不返回true,浏览器会报错:

Access to XMLHttpRequest at 'http://sub.rocky.com/demo/jquery_qrcode/api.php' from origin 'http://www.rocky.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Credentials' header in the response is '' which must be 'true' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

经过上面这些处理后,浏览器发起ajax请求终于会带上cookie了~

其它

除了上面这种处理方式,还有一种更简单的方法,就是使用JSONP跨域方式,不使用CORS。下面以jquery为例:

$.ajax({
	url: "http://sub.rocky.com/demo/jquery_qrcode/api.php",
	type: "get",
	dataType: "jsonp", // 使用jsonp跨域方式
	success: function () {
		console.log("请求成功");
	}
});

dataType设置为jsonp就可以,就这么简单,后端接口的响应头不需要改动。
JSONP跨域方式有一定的限制,就是只支持GET请求方法,后端接口也要支持JSONP的callback参数才行。

自由de单车
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
你可能不知道的CORS跨域资源共享
10-17
这样,当浏览器发送带有CORS头的请求时,服务器会根据这些设置决定是否允许跨域请求。通过这种方式,开发者可以精确控制哪些源可以访问服务器资源,从而在保证安全的同时实现跨域数据交换。 总结来说,CORS是现代...
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
允许跨域资源共享(CORS携带 Cookie (转载)
11-06 688
如何让CORS携带Cookie CORS 是一个 W3C 标准,全称是“跨域资源共享”(Cross-origin resource sharing)。默认浏览器为了安全,遵循“同源策略”,不允许 Ajax 跨域访问资源,而为了允许这种操作,服务器端和客户端都要遵循一些约定。服务器端需设置以下响应头: Access-Control-Allow-Origin: <or...
跨域请求无法携带Cookie问题
Markix的博客
01-06 4676
项目使用了SpringSecurity框架,登录成功后会设置cookiecookie信息如图: 跨域登录成功后(自动设置了cookie),后续的其他请求没有自动携带cookie。 解决 cookie的属性介绍:https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookie 当设置 secure=true 时,只有发送 https 请求才会携带 cookie 当设置 SameSite=none 时,跨域请求才会携带 cookie 对于我遇到的情况,上
application/json 请求跨域无法携带cookie问题
daxiaojianghujs2016的博客
09-29 1165
前后端分离的项目中,一般前端会有一个域名,后端接口会有一个域名。如果后端接口生成的cookie,前端请求时,cookie无法携带上来 因此前端需要配置withCredentials属性,CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。 前端配置 ...
解决ajax跨域请求cookie无法带上的解决方法
Ark方舟
02-06 598
注意:cookie是基于域名来储存的。要放到测试服务器上或者本地localhost服务器上才会生效。cookie具有不同域名下储存不可共享的特性。单纯的本地一个html页面打开是无效的。 原生ajax请求方式: var xhr = new XMLHttpRequest(); xhr.open("POST", "http://xxxx.com/demo/b/index.php"...
跨域请求如何携带 Cookie
前端小白的博客
01-03 1642
需要注意,启用跨域请求携带 Cookie 的设置需谨慎,确保服务端和客户端都进行了适当的安全措施,以防止潜在的安全风险。此外,还要注意遵循同源策略,并只允许受信任的域名访问和携带 Cookie。在发送跨域请求的客户端代码中,将 withCredentials 属性设置为 true。在默认情况下,跨域请求是不会携带 Cookie 的,这是为了保护用户隐私和安全考虑。在服务器端,需要对来自其他域的请求进行特殊的处理,以允许跨域请求携带 Cookie。具体的方法取决于所使用的后端技术。
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot 通过CORS实现跨域是解决现代Web应用程序中跨域访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
cors跨域Tomcat文件
04-21
【标题】"cors跨域Tomcat文件"涉及的是在Web开发中解决跨域问题的一种常见方法,即使用CORS(Cross-Origin Resource Sharing)机制在Apache Tomcat服务器上配置和实现。CORS是一种允许浏览器安全地从不同源加载资源...
Springboot处理CORS跨域请求的三种方法
08-19
.allowCredentials(true) // 允许携带Cookie .maxAge(3600); // 预检请求的缓存时间 } } ``` 这样,所有API都会遵循这个全局的CORS策略。 3. **自定义CORS过滤器** 第三种方法是创建一个自定义的CORS过滤...
跨域携带cookie
gwdgwd123的博客
08-28 269
header("Access-Control-Allow-Credentials: true"); header("Access-Control-Allow-Origin: http://www.xxx.com"); 服务端配置 前端配置 原生ajax请求方式: var xhr = new XMLHttpRequest(); xhr.open("POST", "http://xxx...
CORS跨域携带Cookie
九城科技 博客:https://blog.minkse.cn/
07-15 859
遇到的问题: 某个老系统使用Vue+Axios+PHP开发,本身是部署在同一域名下 这时候不会涉及到跨域问题 但是奈何线上服务器带宽不够用,且JS、CSS、图片等静态资源加载很缓慢 只能把静态资源迁移到阿里云的OSS存储对象里 导致现在出现了跨域,而且无法携带Cookie,因为是老系统,不太可能改成类似JWT的形式 abc.com指向了OSS的静态地址用于打开前端页面 而JS请求的后台接口地址变成了api.com 这时候后台在header头返回了Set-Cookie也没用 因为同源策略,浏
cookie跨域携带
weixin_33981932的博客
12-09 1057
前提:http://192.168.1.3:8013和http://192.168.1.3:8012为静态服务 ​ http://192.168.1.3:3000后台服务 方法一: 通过配置ajax请求头'withCredentials'为true,以及后台配置('Access-Control-Allow-Origin','IP端口')和('Access-Control-Allow-...
前后端跨域无法种cookie问题
allbugs的博客
03-15 1334
问题做前后端分离的项目时,有一个业务是登录成功后跳转到主页并展示列表,否则跳回登录页。但无论登录多少次都进不到列表页,并抛出“未登录”的异常。通过debug发现已经登录成功,就是登录的sessionId和查询的不一样,如下图:看来是cokkie出了问题。解决:经多方查找,找到三个解决方案。
关于vue3前后端分离项目中的跨域问题以及谷歌浏览器不能携带cookie问题
最新发布
booo_ooom的博客
01-11 804
关于vue3前后端分离项目中的跨域问题以及谷歌浏览器不能携带cookie问题
跨域请求时携带cookie
duansamve的博客
06-09 379
$.ajax({ type : "POST", url : url, cache: false, async : false, data : jsonData, dataType : 'json', timeout : 10000, crossDomain:true, //设置跨域为true xhrFields: { withCredentials: true.
跨域请求携带cookie
duansamve的博客
02-13 737
function ajaxPostRequestCipherMachine(url, param) { var url = url; var dict = { 'ret' : false, 'errmsg' : '请求失败' }; var jsonData = param; ...
前后端分离下产生的跨域问题cookie无法存储和请求
zkk的博客
08-23 1448
最近公司在做使用cas实现单点登录的过程中,出现许多的坑,其中在前后端分离的架构背景下,由于跨域问题导致的Cookie-session认证机制变得不太可行,其根本原因就是在不同源下,。
前端为什么发请求没有携带cookie
weixin_48975022的博客
08-02 4487
在前端发送请求时,如果想要携带 cookie,通常只能携带存储在与请求域名相同路径的 cookie。这是由浏览器的同源策略所决定的。同源策略要求请求的域名、协议和端口都必须一致,否则浏览器会限制跨域请求的权限。当浏览器发送跨域请求时,默认情况下不会自动携带 cookie,只有在以下两种情况下才会携带:目标域名设置了允许携带 cookie 的响应头(Access-Control-Allow-Credentials),并且请求的 origin 域名也在目标域名的白名单中。
nginx 修复CORS跨域漏洞
05-28
在Nginx中修复CORS跨域漏洞,可以通过在Nginx配置文件中添加以下代码: ``` location /api { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; if ($request_method = 'OPTIONS') { return 204; } } ``` 以上代码将在/api路径下添加CORS相关的响应头,允许所有域名访问。其中,'Access-Control-Allow-Origin'表示允许访问的域名,'*'表示所有域名都可以访问;'Access-Control-Allow-Credentials'表示是否允许携带Cookie;'Access-Control-Allow-Methods'表示允许的HTTP请求方法;'Access-Control-Allow-Headers'表示允许的请求头。 需要注意的是,以上代码中的$request_method变量表示当前请求的HTTP方法,如果是OPTIONS方法则返回204状态码,表示预检请求成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值