跨域CORS请求携带cookies

最新推荐文章于 2024-01-03 21:21:05 发布
最新推荐文章于 2024-01-03 21:21:05 发布
阅读量824 收藏
点赞数
分类专栏: 笔记 踩坑 文章标签: 前端 javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010935773/article/details/123360796
版权

@TOC跨域CORS请求携带cookies

跨域CORS请求携带cookies

Cookie 简介

  • cookie是存储于访问者的计算机中的变量。可以让我们用同一个浏览器访问同一个域名的时候共享数据。 HTTP
  • 是无状态协议。简单地说,当你浏览了一个页面,然后转到同一个网站的另一个页
    面,服务器无法认识到这是同一个浏览器在访问同一个网站。每一次的访问,都是没有任何 关系的。

Koa Cookie 的使用

1、Koa 中设置 Cookie 的值

ctx.cookies.set(name, value, [options])
options 名称options 值
maxAge一个数字表示从 Date.now() 得到的毫秒数
expirescookie 过期的 Date
pathcookie 路径, 默认是/
domaincookie 域名
secure安全 cookie 默认 false,设置成 true 表示 只有 https 可以访问
httpOnly是否只是服务器可访问 cookie, 默认是true
overwrite一个布尔值,表示是否覆盖以前设置的同名 的 cookie (默认是 false). 如果是 true, 在同 一个请求中设置相同名称的所有 Cookie(不 管路径或域)是否在设置此 Cookie 时从 Set-Cookie 标头中过滤掉。

2、Koa 中获取 Cookie 的值

ctx.cookies.get('name');

Koa 中设置中文 Cookie

console.log(new Buffer('hello, world!').toString('base64'));// 转换成 base64 字符 串:aGVsbG8sIHdvcmxkIQ==
console.log(new Buffer('aGVsbG8sIHdvcmxkIQ==', 'base64').toString());// 还原 base 64 字符串:hello, world!

搭建一个跨域请求的环境

A 服务器

const Koa = require('koa');
const KoaRouter = require('koa-router');
const serve = require('koa-static');
const path = require('path');

const app = new Koa();
const router = new KoaRouter();

app.use(serve(path.resolve(__dirname, './static'), {
    index: 'index.html'
}))

router.get('/login', async (ctx, next) => {
    // ctx.body = 'hello'

    ctx.cookies.set('username','zhangsan',{
        maxAge: 60 * 1000 * 60,
        // path: '/login',
        httpOnly: true
    });
    ctx.body = {
        code: 200,
        message: '登录成功'
    }
})

router.get('/getUser', async (ctx, next) => {
    var user = ctx.cookies.get('username');
    console.log(user,'--------------')
    ctx.body = {
        code: 200,
        user,
        message: '获取用户成功'
    }
})

app.use(router.routes());

app.listen(8088, () => {
    console.log(8088)
})

B 服务器

const Koa = require('koa');
const KoaRouter = require('koa-router');

const app = new Koa();
const router = new KoaRouter();

app.use(async (ctx, next) => {
    ctx.set('Access-Control-Allow-Origin', 'http://localhost:8088'); //允许来自所有域名请求(不携带cookie请求可以用*,如果有携带cookie请求必须指定域名)
    // ctx.set("Access-Control-Allow-Origin", "http://localhost:8080"); // 只允许指定域名http://localhost:8080的请求
    
    ctx.set('Access-Control-Allow-Methods', 'OPTIONS, GET, PUT, POST, DELETE'); // 设置所允许的HTTP请求方法
    
    ctx.set('Access-Control-Allow-Headers', 'x-requested-with, accept, origin, content-type'); //字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段.
    // 服务器收到请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。
    
    ctx.set('Access-Control-Allow-Credentials', true); // 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。
    // 当设置成允许请求携带cookie时,需要保证"Access-Control-Allow-Origin"是服务器有的域名,而不能是"*";
    await next();
})

router.get('/anotherService', async (ctx, next) => {
    ctx.body = {
        code: 200,
        msg: '8089'
    }
})


app.use(router.routes());

app.listen(8089, () => {
    console.log(8089)
})

前端

<div>
        <button id="button">同源</button>
    </div>
    <div>
        <button id="cross_button">非同源</button>
    </div>
    <script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script>
    <script>
        const btn = document.querySelector('#button')
        const cros_btn = document.querySelector('#cross_button')

        axios.get("http://localhost:8088/login", {}).then(res => {
            console.log(res)
        })

        // 同源
        btn.onclick = function () {
            axios.get("http://localhost:8088/getUser", {}).then(res => {
                console.log(res)
            })
        }

        // 非同源
        cros_btn.onclick = function () {
            axios.get("http://localhost:8089/anotherService", {}).then(res => {
                console.log(res)
            })
        }

    </script>
朝丫呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
axios+vue 请求时如何携带cookie
web13985085406的博客
08-01 6785
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。此时,请设置具体配置,这是一个坑,查阅资料得知,部分浏览器对*的兼容性不好,有的说法解释说Access-Control-Allow-Credentials’‘true’该字段会影响*的解析,导致报错。也就是说,不管后端是什么语言,需要返回以上四个响应头字段,如下所示,跨域状态下,cookie已经传递成功。如有不妥,请指出,希望对各位有所帮助,共勉!在响应头中添加以下几个字段。...
跨域请求携带cookie
ZH20XX的博客
07-19 568
需求背景: 公司有俩网站, A站点需要拿B站点的用户登录状态,然后实现A站自动登录的功能. 然后技术实现就是A站点在浏览器客户端ajax请求B站点的接口, 这就需要在请求B站时在请求携带Cookie来判断当前客户端B站点是否是登陆状态. 知识点: 在请求中有Request Cookies 和 Response Cookiesd 两种. 技术实现: 假设A站点为a.com, B站点为b.com 1. ajax跨域请求方式 A站点的前端代码发起跨域(a.com/index.html...
面试官问:跨域请求如何携带cookie?
u012384510的博客
03-07 2827
大家好,我是若‍川。持续组织了6个月源码共读活动,感兴趣的可以点此加我微信 ruochuan12参与,每周大家一起学习200行左右的源码,共同进步。同时极力推荐订阅我写的《学习源码整体架...
跨域】一篇文章彻底解决跨域设置cookie问题!
热门推荐
lonelysnowman的博客
01-08 1万+
之前做项目的时候发现后端传过来的 SetCookie 不能正常在浏览器中使用。是因为谷歌浏览器新版本Chrome 80将Cookie的SameSite属性默认值由None变为Lax。接下来带大家解决该问题。
Cookie跨域以及Cookie共享问题
qq_43750656的博客
09-14 5544
解决跨域以后,如何允许跨域请求携带cookie,例如访问B的接口,默认情况下是不允许带cookie的,此时需要设置axios的withcredentials的属性为true,告诉浏览器在访问B网站时,将B网站的cookie带上,此时光前端设置还不行,还需要后端在响应头中添加 allow-withcredentials = true,这样就可以保证跨域请求也可以携带cookie。在站点A下面访问B域名的接口,那么这是一个跨域请求,如果不做处理,此时这个请求跨域了,浏览器在接收到响应以后会直接报错。
CORS请求Request携带Cookie失败占用License解决方案
yaoxin521123的博客
10-18 1417
Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。这时,网站可以选择显式关闭 SameSite 属性,将其设为 None。不过,前提是必须同时设置 Secure 属性(Cookie 只能通过 HTTPS 协议发送),否则无效。,只有少部分请求需要带上的情况,一般没有。
再看CORS的cookie跨域
darabiuz的博客
04-01 510
1. 前提 之前博客已经写了关于Cors解决跨域的问题 服务器端对于跨域请求的处理流程如下: 首先查看http头部有无origin字段; 如果没有,或者不允许,直接当成普通请求处理,结束; 如果有并且是允许的,那么再看是否是preflight(method=OPTIONS); 如果不是preflight(简单请求),就返回Allow-Origin(必须的)、[Allow-Credentials,Access-Control-Expose-Headers],并返回正常内容。 如果是preflight(预
详解springboot设置cors跨域请求的两种方式
08-26
接着,我们设置了 Access-Control-Allow-Credentials 头信息为 true,表示允许跨域请求携带 Cookies。 在添加了这两个头信息后,我们可以根据需要设置其他的头信息,例如 Access-Control-Allow-Methods、Access-...
cors技术解决ajax跨域
11-27
若不需要跨域请求携带cookies或其他认证信息,可设置`Access-Control-Allow-Credentials`为`false`。 总之,CORS通过在服务器端设置特定的响应头,使浏览器能够判断并处理跨域请求,从而解决了AJAX的跨域问题。在...
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
3. 授权验证:如果API需要身份验证,设置`Access-Control-Allow-Credentials`为`true`,并确保服务器返回的Set-Cookie响应头与`Access-Control-Allow-Origin`相匹配,以允许跨域请求携带cookies。 总结来说,CORS是...
cors跨域
01-19
3. 根据需求设置过滤器的CORS策略,例如允许哪些源、哪些HTTP方法、是否允许携带凭证(cookies)等。 4. 重启Web应用,使配置生效。现在,当前端发起跨域请求时,服务器会自动添加相应的CORS响应头,浏览器在检测到...
node跨域请求方法小结
08-29
另外,`'Access-Control-Allow-Credentials': true`表示允许携带cookies跨域请求,这在需要用户认证的场景下很有用。 当客户端发起一个CORS请求时,浏览器首先会发送一个预检(OPTIONS)请求,询问服务器是否...
跨越(三)CORS中的Cookie
二豪码字
10-04 367
之前遇到过一个跨域的问题,在服务端配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials,并且前端设置withCredentials 为true。同样的程序在本地计算机运行正常,但是将程序部署到服务器上异常。排查发现是因为浏览器默认不发送Cookie,导致虽然服务器set-cookie,并且前段保存这个cookie,但是在随后的请求中并没有将此cookie携带,服务端没收到cookie,一直认为是新登录,不停的转到登录界面。 但是为社么本
如何使用CORS来允许设置Cookie
湖北太米网络科技有限公司
08-30 81
要在Vue客户端和Node服务器端之间启用跨域资源共享(CORS)以允许设置Cookie,您需要在两个地方进行适当的配置。下面是一个示例:在Vue客户端中:安装axios库(如果还没有安装):npm install axios在您的Vue项目的主入口文件(如main.js)中添加以下代码:import axios from...
CORS跨域不能携带cookie的问题
IT部落格
04-30 3249
环境 Chrome浏览器100.0.4896.127正式版 前言 最近在做web需求时,遇到了一个跨域的问题: 浏览器有一个cookie,这个cookie的domain是.rocky.com,path是/。 网页域名是 www.rocky.com,网页会使用ajax请求sub.rocky.com域名下的一个接口获取数据,奇怪的是,在请求ajax接口时浏览器没有在请求头里带上cookie。 最后通过网上查资料得知,原来这个ajax请求跨域了,原因是接口域名(sub.rocky.com)跟网页域名( www.r
CORS跨域携带Cookie
九城科技 博客:https://blog.minkse.cn/
07-15 857
遇到的问题: 某个老系统使用Vue+Axios+PHP开发,本身是部署在同一域名下 这时候不会涉及到跨域问题 但是奈何线上服务器带宽不够用,且JS、CSS、图片等静态资源加载很缓慢 只能把静态资源迁移到阿里云的OSS存储对象里 导致现在出现了跨域,而且无法携带Cookie,因为是老系统,不太可能改成类似JWT的形式 abc.com指向了OSS的静态地址用于打开前端页面 而JS请求的后台接口地址变成了api.com 这时候后台在header头返回了Set-Cookie也没用 因为同源策略,浏
跨域访问cookie之CORS的完美解决方案
初漾的博客
10-03 9668
实际应用中选择的2种跨域方式一种是JSONP,另一种是通过CORS.前者是相对比较老的手法,后者我感觉更加给力一点JSONP即使是相对好用的JSONP对于非GET请求也是无能为力的,因为它本质上还是通过script去get一些资源.JSONP这种只能GET的限制,在Angular推崇RESTful风格接口的API场景下,就完全制约了它的使用,总不能弃POST和PUT那些不管。并且JSONP的错误处理
跨域请求如何携带 Cookie
前端小白的博客
01-03 1611
需要注意,启用跨域请求携带 Cookie 的设置需谨慎,确保服务端和客户端都进行了适当的安全措施,以防止潜在的安全风险。此外,还要注意遵循同源策略,并只允许受信任的域名访问和携带 Cookie。在发送跨域请求的客户端代码中,将 withCredentials 属性设置为 true。在默认情况下,跨域请求是不会携带 Cookie 的,这是为了保护用户隐私和安全考虑。在服务器端,需要对来自其他域的请求进行特殊的处理,以允许跨域请求携带 Cookie。具体的方法取决于所使用的后端技术。
WebAPIs笔记
u010935773的博客
11-08 3910
WebAPIs一 、- Web APIs介绍1. API的概念2 . Web API的概念3. API 和 Web API 总结二、 - DOM1. DOM 介绍1.1. 什么是DOM1.2. DOM树2. 获取元素2.1. 根据ID获取2.2. 根据标签名获取元素2.3. H5新增获取元素方式2.4. 获取特殊元素(body,html)3. 事件基础3.1. 事件概述3.2. 事件三要素3.3. 执行事件的步骤3.4. 常见的鼠标事件3.5. 分析事件三要素4. 操作元素4.1. 改变元素内容(获取或
CORS跨域资源共享
最新发布
06-22
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,允许浏览器在同源策略限制下从不同源的服务器请求资源,如HTML、CSS、JavaScript或JSON等。这一机制通过在HTTP头部添加特定的`Access-Control-Allow-Origin`等预检请求头,服务器控制哪些域可以访问其资源。 CORS的主要特点包括: 1. **预检请求**(Preflight Request):在发送实际跨域请求之前,浏览器会发送一个OPTIONS请求(也称为"预检请求"),以检查服务器是否允许跨域访问。 2. **允许来源**(Allowed Origins):服务器通过`Access-Control-Allow-Origin`头指定允许的访问源。可以是特定的URL,也可以设置为"*"(表示所有源)。 3. **请求方法**(Methods):服务器通过`Access-Control-Allow-Methods`头指定哪些HTTP方法(如GET, POST, PUT等)可以被跨域请求。 4. **请求头**(Request Headers):服务器通过`Access-Control-Allow-Headers`指明哪些自定义请求头可以在跨域请求中使用。 5. **响应头**(Response Headers):服务器还可以通过`Access-Control-Allow-Credentials`头决定是否允许跨域请求携带cookies,以及`Access-Control-Max-Age`头设置缓存策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值