CORS 跨域中的 Cookie处理

最新推荐文章于 2023-05-11 11:58:04 发布
最新推荐文章于 2023-05-11 11:58:04 发布
阅读量286 收藏
点赞数 1
原文链接:https://www.jianshu.com/p/13d53acc124f
版权

CORS 跨域中的 Cookie

概述

​ 基于安全方面的考虑,在浏览器中无法获取跨域的 Cookie 这一点时永远不变的。但是我们处理跨域请求时有可能会遇到这样的情况:一个网页与域为bbb.cn的服务器正常发送请求和接收响应,同时这个网页也需要跨域访问aaa.cn服务器。

​ 众所周知,浏览器会在准备发送的请求中附上所有符合要求的Cookie,故在上面的情况中浏览器会自动处理网页与域为bbb.cn的服务器之间的 Cookie;但是在 CORS 跨域中,浏览器并不会自动发送 Cookie,也就是说,浏览器不会处理网页与aaa.cn服务器之间的 Cookie。

配置说明

要想浏览器处理 CORS 跨域中的 Cookie 只需要分别在网页以及服务端作出一点点改变:

  1. 网页端中,对于跨域的 XMLHttpRequest 请求,需要设置withCredentials 属性为 true。

    var xhr = new XMLHttpRequest();
xhr.open("GET", "http://aaa.cn/localserver/api/corsTest");
xhr.withCredentials = true; // 设置跨域 Cookie
xhr.send();

  2. 同时服务端的响应中必须携带 Access-Control-Allow-Credentials: true 首部。如果服务端的响应中未携带Access-Control-Allow-Credentials: true 首部,浏览器将不会把响应的内容返回给发送者。

要想设置和获取跨域 Cookie,上面提到的两点缺一不可。另外有一点需要注意的是:规范中提到,如果 XMLHttpRequest 请求设置了withCredentials 属性,那么服务器不得设置 Access-Control-Allow-Origin的值为* ,否则浏览器将会抛出The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' 错误。

在基于 Filter 的 CORS 跨域中应用 Cookie

​ 基于 Filter 的 CORS 跨域实现实际上就是手动在响应中添加 CORS 要求的响应首部字段。一个简单 Filter 实现如下:

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    System.out.println("work");
    HttpServletResponse response = (HttpServletResponse) servletResponse;
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");
    filterChain.doFilter(servletRequest, servletResponse);
}

但是正如上面提到的:如果 XMLHttpRequest 请求设置了withCredentials 属性,那么服务器不得设置 Access-Control-Allow-Origin的值为* ,所以我们需要处理Access-Control-Allow-Origin 首部字段的值,否则将会得到以下的错误:

下面提供一种处理Access-Control-Allow-Origin 首部字段值的方法,我们可以根据请求的域来动态的设置:

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    HttpServletResponse response = (HttpServletResponse) servletResponse;
    String origin = request.getHeader("origin");// 获取源站
    response.setHeader("Access-Control-Allow-Origin", origin);
    response.setHeader("Access-Control-Allow-Methods", "POST, GET");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");
    filterChain.doFilter(servletRequest, servletResponse);
}

最后,在 Java Web 应用程序中获取和设置 Cookie 方法与普通的没有区别。

Cookie cookie = new Cookie("test", "value");
response.addCookie(cookie);

Cookie[] cookies = request.getCookies();

在基于@CorssOrigin 注解的 CORS 跨域中应用 Cookie

​ 在使用 Spring 提供的 CORS 支持的 @CorssOrigin 注解时,我们只需要在网页端设置跨域 XMLHttpRequest 请求的 withCredentials 属性就可以正常设置和获取跨域 Cookie。这是因为 Spring 的@CorssOrigin 注解默认情况下已经为我们设置响应中的 Access-Control-Allow-Credentials: true 首部,同时也会根据实际接收到的请求的源站设置 Access-Control-Allow-Origin首部。

​ 在 Spring MVC 中配置使用 CORS跨域的方法我已经在前面的文章中介绍过,详细的可以阅读文章Spring MVC 实现 CORS 跨域。 使用@CorssOrigin 注解后服务器设置 Cookie 的响应首部如下图所示:

​ 最后,跟上面一样,在 Java Web 应用程序中获取和设置 Cookie 方法与普通的没有区别。



作者:ken_ljq
链接:https://www.jianshu.com/p/13d53acc124f
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

春干部
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web开发解决跨域访问问题的一种机制,它允许浏览器在遵循同源策略的前提下,通过特定的HTTP头部与服务器通信,从而实现不同源之间的资源访问。这种机制是为了解决现代Web应用由于同源策略...
Angular通过CORS实现跨域方案
weixin_33759269的博客
08-18 349
2019独角兽企业重金招聘Python工程师标准>>> ...
再看CORScookie跨域
darabiuz的博客
04-01 508
1. 前提 之前博客已经写了关于Cors解决跨域问题 服务器端对于跨域请求的处理流程如下: 首先查看http头部有无origin字段; 如果没有,或者不允许,直接当成普通请求处理,结束; 如果有并且是允许的,那么再看是否是preflight(method=OPTIONS); 如果不是preflight(简单请求),就返回Allow-Origin(必须的)、[Allow-Credentials,Access-Control-Expose-Headers],并返回正常内容。 如果是preflight(预
跨域时怎么处理 cookie
hyqhyqhyqq的博客
05-11 1372
结果很意外,请求的响应被浏览器拦截了,浏览器还贴心的在console上抛出了一个错误。这里要注意,浏览器不是在请求阶段就对请求进行拦截,而是正常发出请求,拿到服务端的响应之后,开始查看响应header里面有没有Access-Control-Allow-Origin这个header,如果没有,响应的结果就不会到js那里去。登录是基于session的,也就是说,登录成功后,server会通过set-cookie,将cookie设置到浏览器,这样,下次访问同源下的api时,cookie就会被带上。
Cookie跨域问题解决方案
诚的博客
06-03 2669
比如说,我们请求<https://www.google.com/>时,浏览器会自动把google.com的Cookie带过去给google的服务器,而不会把<https://www.baidu.com/>的Cookie带过去给google的服务器。 这就意味着,由于域名不同,用户向系统A登录后,系统A返回给浏览器的Cookie,用户再请求系统B的时候不会将系统A的Cookie带过去。 针对Cookie存在跨域问题,有几种解决方案: 服务端将Cookie写到客户端后,客户端对Coo
Cors跨域(二):实现跨域Cookie共享的三要素
架构师:通透,才能写出好代码!
06-17 1625
高考不努力,工地里当兄弟
cors跨域问题对应的jar包.zip
08-19
"cors跨域问题对应的jar包.zip"这个压缩包文件包含了处理跨域问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
详解Spring MVC CORS 跨域
08-30
在 Web 开发跨域资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同域名下的资源,而不受同源策略的限制。今天,我们主要介绍了 Spring MVC CORS ...
Springboot处理CORS跨域请求的三种方法
08-19
以下将详细介绍Spring Boot处理CORS跨域请求的三种方法。 1. **使用`@CrossOrigin`注解** `@CrossOrigin`是Spring提供的一个注解,用于配置控制器或方法,允许特定的跨域请求。当在控制器类或具体方法上添加此...
cors跨域Tomcat文件
04-21
【标题】"cors跨域Tomcat文件"涉及的是在Web开发解决跨域问题的一种常见方法,即使用CORS(Cross-Origin Resource Sharing)机制在Apache Tomcat服务器上配置和实现。CORS是一种允许浏览器安全地从不同源加载资源...
跨越(三)CORSCookie
二豪码字
10-04 367
之前遇到过一个跨域问题,在服务端配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials,并且前端设置withCredentials 为true。同样的程序在本地计算机运行正常,但是将程序部署到服务器上异常。排查发现是因为浏览器默认不发送Cookie,导致虽然服务器set-cookie,并且前段保存这个cookie,但是在随后的请求并没有将此cookie携带,服务端没收到cookie,一直认为是新登录,不停的转到登录界面。 但是为社么本
CORS跨域不能携带cookie问题
IT部落格
04-30 3244
环境 Chrome浏览器100.0.4896.127正式版 前言 最近在做web需求时,遇到了一个跨域问题: 浏览器有一个cookie,这个cookie的domain是.rocky.com,path是/。 网页域名是 www.rocky.com,网页会使用ajax请求sub.rocky.com域名下的一个接口获取数据,奇怪的是,在请求ajax接口时浏览器没有在请求头里带上cookie。 最后通过网上查资料得知,原来这个ajax请求跨域了,原因是接口域名(sub.rocky.com)跟网页域名( www.r
跨域访问cookieCORS的完美解决方案
初漾的博客
10-03 9666
实际应用选择的2种跨域方式一种是JSONP,另一种是通过CORS.前者是相对比较老的手法,后者我感觉更加给力一点JSONP即使是相对好用的JSONP对于非GET请求也是无能为力的,因为它本质上还是通过script去get一些资源.JSONP这种只能GET的限制,在Angular推崇RESTful风格接口的API场景下,就完全制约了它的使用,总不能弃POST和PUT那些不管。并且JSONP的错误处理
CORS跨域发送Cookie
yiranblade的博客
06-25 3011
引言由于默认情况下浏览器对跨域请求不允许携带Cookie,所以这次开发再与前端同学在权限验证这块踩了好多坑,故将一些教训写下来,共勉!CROS在 2014 年 W3C 发布了 CORS Recommendation 来允许更方便的跨域资源共享,同时CORS也允许我们使用额外的相应头字段来允许跨域发送Cookie。模拟前端代码设置withCredentials为true即可让该跨域请求携带 Cook...
CORS跨域携带Cookie
九城科技 博客:https://blog.minkse.cn/
07-15 856
遇到的问题: 某个老系统使用Vue+Axios+PHP开发,本身是部署在同一域名下 这时候不会涉及到跨域问题 但是奈何线上服务器带宽不够用,且JS、CSS、图片等静态资源加载很缓慢 只能把静态资源迁移到阿里云的OSS存储对象里 导致现在出现了跨域,而且无法携带Cookie,因为是老系统,不太可能改成类似JWT的形式 abc.com指向了OSS的静态地址用于打开前端页面 而JS请求的后台接口地址变成了api.com 这时候后台在header头返回了Set-Cookie也没用 因为同源策略,浏
Axios和CORS跨域请求携带cookie问题
u012911742的博客
10-28 2574
Axios+CORS跨域请求 前端配置 import axios from 'axios' const instance = axios.create({ baseURL: process.env.NODE_ENV === 'development' ? config.proxy.dev : config.proxy.online, // ... withCredentials: true // 需配置为true,使请求体携带cookie }); instance.inte...
解决CORS跨域不能传递cookies的问题
weixin_34194551的博客
03-18 2289
故事背景 前端用的 vue + axios, 后端用的是 ko2,用 koa-passport + passport-local 帮我处理登录注销,用 koa-generic-session 处理session, koa2-cors 处理跨域 问题描述 今天做登录的时候,发现 接口调用正常,数据正常传递,redis里也有存储相应值 唯独前端页面一直没有设置上cookies,无法保存登录状态。 ...
CORS跨域问题以及跨域之后Set-Cookie无法设置Cookie问题
风起
10-07 3192
文章目录express使用`cors`库自己写一个间件跨域Set-Cookie无效 服务端-express express 使用cors库 const cors = require('cors') app.use(cors()) 从库的源代码,我们可以看出使用的是res.setHeader方法。 自己写一个间件 module.exports = () => (req, res, next) => { const ref = req.headers.origin; res.hea
允许跨域资源共享(CORS)携带 Cookie
pure_light's Blog
04-08 2790
转载自:https://my.oschina.net/tridays/blog/758994摘要: `Access-Control-Allow-Credentials` 响应头会使浏览器允许在 Ajax 访问时携带 Cookie,但我们仍然需要对 XMLHttpRequest 设置其 `withCredentials` 参数,才能实现携带 Cookie 的目标。CORS 是一个 W3C 标准,全称...
uniapp请求cors跨域解决方法
最新发布
09-20
以上是一些常用的uni-app处理cors跨域请求的方法,根据具体情况选择适合的解决方案。 ### 回答3: 在UniApp解决跨域问题可以通过配置服务器设置CORS跨域资源共享)来实现。 首先,在后端服务器上设置CORS。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值