跨域携带身份凭证

最新推荐文章于 2022-12-18 22:25:43 发布
最新推荐文章于 2022-12-18 22:25:43 发布
阅读量559 收藏
点赞数 1
文章标签: php jquery javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwj19921222/article/details/108631754
版权

跨域携带身份凭证

场景需求分析

在前后端分离的情况下,假如异步请求的域名与当前页面所在域名不相同,也就是不同源的情况下,鉴于同源策略,会禁止向异源发起请求。这种情况下可通过跨域请求解决上述问题,而在跨域请求时,有些情况下会要求携带上身份凭证(例如cookie),下面就针对这一需求来详细解答。

代码&解析
  • 服务器端,请求地址为http://www.test.me/1.php,文件名为1.php
<?php
// 1.php
echo json_encode(['status' => 1, 'msg' => '成功'], JSON_UNESCAPED_UNICODE);
  • 客户端,入口地址为http://www.test1.me/1.html,文件名为1.html
// 注:此处的jq需自行下载放在当前代码所在目录
// 1.html
<script src="jquery-3.5.1.min.js"></script>
<script>
    $.ajax({
        url:'http://www.test.me/1.php',// 服务端地址
        success:function(res){
            console.log('res', res)
        },
        error:function(err_res) {
            console.log('err_res', err_res)
        }
    })
</script>

分析:假设客户端代码入口地址A为http://www.test1.me/1.html,服务端地址B为http://www.test.me/1.php,1.html中直接请求1.php,打开浏览器console面板,会出现跨域请求报错,详情如下

在这里插入图片描述
为了解决跨域的问题,最简单直接的方法是在服务器段添加一个头部,代码如下

<?php
// 1.php
header('Access-Control-Allow-Origin:*');
echo json_encode(['status' => 1, 'msg' => '成功'], JSON_UNESCAPED_UNICODE);

此处设置的头部,意思是允许所有源的请求访问;再次打开http://www.test1.me/1.html,跨域报错就没了。

只不过以上的处理方式,虽然使得跨域获取数据不成问题,但是跨域的时候还没带上身份凭证,需要再添加一些东西,同样,先看代码

// 1.html
<script src="jquery-3.5.1.min.js"></script>
<script>
    $.ajax({
        url:'http://www.test.me/1.php',

        crossDomain:true,
        xhrFields:{
            withCredentials: true
        },

        success:function(res){
            console.log('res', res)
        },
        error:function(err_res) {
            console.log('err_res', err_res)
        }
    })
</script>

对比一开始,多了crossDomain以及xhrFields两项,前者意思是进行跨域请求,后者的意思是简单的说,是否携带上身份信息。当然仅仅修改浏览器是不起作用的,还得对服务器端进行修改,代码如下。

<?php
// 1.php
header('Access-Control-Allow-Credentials:true');
header('Access-Control-Allow-Origin:'.getallheaders()['Origin']);

setcookie('aa', 'ad');

echo json_encode(['status' => 1, 'msg' => '成功'], JSON_UNESCAPED_UNICODE);

此处代码新增了Access-Control-Allow-Credentials一项,意为允许客户端携带身份凭证,值得注意的是,当使用Access-Control-Allow-Credentials时,Access-Control-Allow-Origin不能为*,可如以上代码设置为请求源。下面测试cookie信息是否已携带过来,新增2.php文件

<?php
// 2.php
header('Access-Control-Allow-Credentials:true');
header('Access-Control-Allow-Origin:'.getallheaders()['Origin']);

echo json_encode(['status' => 1, 'msg' => '成功', 'cookie' => $_COOKIE]);

先请求1.php,然后再请求2.php,从返回结果可以得知,cookie已成功设置且异步跨域请求已携带上cookie

完整代码如下:

<?php
// 1.php
header('Access-Control-Allow-Credentials:true');
header('Access-Control-Allow-Origin:'.getallheaders()['Origin']);

setcookie('aa', 'ad');

echo json_encode(['status' => 1, 'msg' => '成功'], JSON_UNESCAPED_UNICODE);

<?php
// 2.php
header('Access-Control-Allow-Credentials:true');
header('Access-Control-Allow-Origin:'.getallheaders()['Origin']);

echo json_encode(['status' => 1, 'msg' => '成功', 'cookie' => $_COOKIE]);

// 1.html
<button id="r2">request 2.php</button>
<script src="jquery-3.5.1.min.js"></script>
<script>
    $.ajax({
        url:'http://www.test.me/1.php',

        crossDomain:true,
        xhrFields:{
            withCredentials: true
        },

        success:function(res){
            console.log('res', res);
        },
        error:function(err_res) {
            console.log('err_res', err_res)
        }
    })

    $('#r2').click(function(){
        $.ajax({
            url:'http://www.test.me/2.php',

            crossDomain:true,
            xhrFields:{
                withCredentials: true
            },

            success:function(res){
                console.log('res', res);
            },
            error:function(err_res) {
                console.log('err_res', err_res)
            }
        })
    })
</script>
异常说明

如返回头部中的Set-Cookie项出现感叹号,是因为谷歌新版本升级后导致,解决办法为先后打开以下地址
chrome://flags/#same-site-by-default-cookies
chrome://flags/#cookies-without-same-site-must-be-secure
设置为Disabled,然后重启浏览器。

Eric-liang
关注
xhr.withCredentials发送跨域请求凭证
diaolanbeng0962的博客
06-17 1086
一、前言  今天遇到一个坑,浏览器请求数据的时候gg了。浏览器报错如下图: 因为请求头部设置了credentis mode is 'include', 从上面可以看出是Access-Control-Allow-Credentials这个响应必须设置为true。 二、思考 第一反应前端没有设置过这个值啊?应该走默认才对吧?测试环境OK啊! ---------------...
vue跨域解决方案websocket_前端跨域解决方案汇总
weixin_39658019的博客
12-20 2349
编者注:关于跨域的文章,之前分享过很多,来看看这篇前端跨域解决方案,由简及深介绍各种存在的跨域请求解决方案,包括 document.domain, location.hash, window.name, window.postMessage, JSONP, WebSocket, CORS。原文:hijiangtao.github.io同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行...
Servlet Cookie 处理
qq_23350817的博客
12-06 1157
Cookie 是存储在客户端计算机上的文本文件,并保留了各种跟踪信息。Java Servlet 显然支持 HTTP Cookie。 识别返回用户包括三个步骤: 服务器脚本向浏览器发送一组 Cookie。例如:姓名、年龄或识别号码等。 浏览器将这些信息存储在本地计算机上,以备将来使用。 当下一次浏览器向 Web 服务器发送任何请求时,浏览器会把这些 Cookie 信息发送到服务器,服务器将使用这些信...
跨域】什么是Authentication、Authorization、Credentials
Milk~每天分享一点点,技术进步一点点
08-16 1078
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登
使用withCredentials发送跨域请求凭据
gang456789的博客
10-11 1870
默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的,XMLHttpRequest 2的一个重要改进就是提供了对授信请求访问的支持。 本地模拟www.zawaliang.com向www.xxx.com发送带cookie的认证请求,我们需求做以下几步工作: 默认情况下widthCredentials为false,我们需要设置widthCredentials为true:var xhr =
身份验证拦截,Ajax请求跨域重定向到页面后不加载,场景分析
xuefeiliuyuxiu的专栏
12-28 1670
原文:https://www.cnblogs.com/Locked-J/p/7700070.html 笔记: 可以在权限验证的时候判断是不是ajax请求,如果是,就返回status 0,然后页面去处理,如果不是 就redirect 记得前进的理由 不断前进。 【Ajax Asp.Net】Ajax跨域重定向302及错误回调 、MVC身份验证过滤器
解决ajax跨域请求数据cookie丢失问题
10-24
这是因为允许携带凭证信息的跨域请求,其安全性要高于普通跨域请求,所以需要更加严格的控制。 此外,除了设置上述响应头之外,服务端还应当根据实际情况,设置其他CORS相关的响应头,例如`Access-Control-Allow-...
ASP.NET Core中的跨域身份验证
本章节将介绍跨域身份验证的基本概念,以及在ASP.NET Core中为什么需要使用跨域身份验证。 ## 1.1 什么是跨域身份验证 在Web开发中,跨域请求是指在浏览器从一个域名(或者端口号、协议)向另一个域名(或者端口号...
Ajax跨域请求COOKIE无法带上的完美解决办法
10-20
出于安全考虑,浏览器同源策略默认禁止这种跨域Ajax请求携带cookies,这种限制会阻止一部分需要身份验证的请求,因为身份验证常常依赖于携带的cookies。不过,通过特定的技术手段,我们可以解决这个问题。 首先,...
Nginx跨域漏洞修复处理过程(验证通过)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-14 1956
## 背景 安全漏扫发现某业务网站存在Origin源不严格,从而造成跨域问题,如下测试结果 ## 跨域 跨域是指使用一个域(网站)下的文档或脚本可去请求获取到另一个域(网站)下的资源的可能风险。 ## 处理 ...
servlet禁用cookie
lcathm的专栏
08-29 902
有两种方式: 1.在web项目的WebRoot目录下的META-INF文件下,打开或则创建conttext.xml文件中,编辑内容: 2.打开Tomcat配置文件context.xml,编辑内容 第一中只针对单个项目,第二种正对所有项目 httpsession超时设置可以在web.xml中配置             3
表单中获取数据及cookie的一些方法
chenyuanshengboke的博客
10-10 2050
一:从表单中获取数据 public class Demo01 extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("tex...
什么是同源策略?解决跨域的三种方法?
最新发布
qq_52409560的博客
12-18 1809
比如JSONP就是一种独立的跨域处理方式,不需要服务器端配置CORS来支持,当然在一个项目里面两者可以混合起来使用:获取数据就用JSONP,提交数据就用CORS;(1)img 的 src 属性;同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。如果,其中一个条件没有满足,那么就是跨域了;(1)协议要相同:HTTP、HTTPS;(2)link 的 href 属性;(3)script 的 src 属性;三种处理跨域的方式,标签跨域特性进行数据跨域访问的,,要具体的域名,不要使用。
解决cookie跨域访问
weixin_34268169的博客
08-07 1750
一、前言   随着项目模块越来越多,很多模块现在都是独立部署。模块之间的交流有时可能会通过cookie来完成。比如说门户和应用,分别部署在不同的机器或者web容器中,假如用户登陆之后会在浏览器客户端写入cookie(记录着用户上下文信息),应用想要获取门户下的cookie,这就产生了cookie跨域的问题。   二、介绍一下cookie   cookie 路径:   cookie 一般都是...
cookie session的设置
Meat_doll的博客
09-14 1959
来自老师讲解的笔记
前端跨域问题
Kylincsg的博客
07-15 544
解决跨域的几种常用方法
Cookie 设置cookie有效期及cookie常用方法
热门推荐
mqingo的博客
01-24 1万+
  Demo03 :   package com.test.cookie; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServlet; import javax.servl...
每日一记--cookie
abbxutk9601的博客
08-24 110
就学习这事吧,总是学习一段时间会放松一段时间,放松的时间却总会担心学习的内容会不会忘记,一天天存在痛苦的记忆中啊!!!好扎心~~~~ 坚持打卡!! 决定将Servlet好好学习一下,详细的了解大致内容吧。 1、cookie存在的意义 首先在表单数据进行提交的时候出现网络信号不好等现象,重新刷新会导致数据重新提交,这样容易造成数据库的压力,或者在某些比较重要的数据提交的时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值