跨域请求携带cookie需配置Access-Control-Allow-Credentials为true

最新推荐文章于 2024-09-25 08:55:50 发布
最新推荐文章于 2024-09-25 08:55:50 发布
阅读量1w 收藏 15
点赞数 4
分类专栏: 工作学习总结 笔记 HTTPS 文章标签: 跨域请求 跨域请求携带cookie
原文链接:https://blog.csdn.net/qq_35385241/article/details/123186235
版权
笔记 同时被 3 个专栏收录
110 篇文章 2 订阅
订阅专栏
工作学习总结
100 篇文章 7 订阅
订阅专栏
HTTPS
17 篇文章 0 订阅
订阅专栏

一、跨域请求携带cookie,需要配置以下三方面:

  • 1.前端请求时在request对象中配置"withCredentials": true
   axios({
     withCredentials: true, // ++
     method: "get",
     url: "http://localhost:8080/crosslist",
   }).then((res) => {
     console.log(res);
   });

  • 2.后端要在跨域服务端responseheader中配置"Access-Control-Allow-Origin", “http://xxx:${port}”; 同时前端也需要在request请求头中添加"Access-Control-Allow-Origin", “http://xxx:${port}”;

  • 3.后端要在跨域服务端在responseheader中配置"Access-Control-Allow-Credentials", “true”;前端要在request请求头中添加"Access-Control-Allow-Credentials", “true”;

二、详细解读

  • 1.withCredentials
    该XMLHttpRequest.withCredentials属性是一个布尔值,指示是否Access-Control应使用 cookie、授权标头或 TLS 客户端证书等凭据进行跨站点请求。设置withCredentials对同站点请求没有影响。
    此外,此标志还用于指示何时在响应中忽略 cookie。默认值为false. XMLHttpRequest来自不同域的 cookie 不能为自己的域设置 cookie 值,除非在发出请求之前withCredentials设置为。true通过设置为 true 获得的第三方 cookiewithCredentials仍将遵循同源策略,因此请求脚本无法通过document.cookie或从响应标头访问。 —来自MDN

  • 2.Access-Control-Allow-Origin
    指定了该响应的资源是否被允许与给定的origin共享

  • 3.Access-Control-Allow-Credentials
    当请求的凭证模式 ( ) 为Access-Control-Allow-Credentials时,响应标头告诉浏览器是否将响应暴露给前端 JavaScript 代码。 Request.credentialsinclude
    当请求的凭据模式 ( Request.credentials) 为 时,如果值为include,浏览器只会将响应暴露给前端 JavaScript 代码。 Access-Control-Allow-Credentialstrue
    凭据是 cookie、授权标头或 TLS 客户端证书。
    当用作对预检请求的响应的一部分时,这表明是否可以使用凭证发出实际请求。请注意,简单GET 的请求不会被预检。因此,如果对具有凭据的资源发出请求,并且如果此标头未与资源一起返回,则响应将被浏览器忽略并且不会返回到 Web 内容。
    Access-Control-Allow-Credentials头与 XMLHttpRequest.withCredentials属性或 Fetch API 构造函数中的credentials选项一起使用。Request()对于带有凭据的 CORS 请求,为了让浏览器向前端 JavaScript 代码公开响应,服务器(使用 Access-Control-Allow-Credentials标头)和客户端(通过为 XHR、Fetch 或 Ajax 请求设置凭据模式)都必须表明它们’正在选择包括凭据。 —来自MDN

————————————————
版权声明:本文为CSDN博主「小蛮牧码者」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_35385241/article/details/123186235

Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
今天小编就为大家分享一篇关于Nginx跨域设置Access-Control-Allow-Origin无效的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,要的朋友一起跟随小编来看看吧
Access-Control-Allow- 设置 跨域资源共享 CORS 详解
az44yao的专栏
12-23 990
      response.setHeader("Access-Control-Allow-Origin", "*");         response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET");         response.setHeader("Access-Control-Max-Age", "3600.
如何解决跨域请求中的 CORS 错误
最新发布
官方推荐
09-25 1万+
如何解决跨域请求中的 CORS 错误
Access-Control-Allow-Credentials”问题
热门推荐
柯基的博客
05-31 2万+
Access-Control-Allow-Credentials跨域问题 在前端向后端请求接口数据时在控制台报出错误: 解决方法:前端: 在config文件下的index.js中` module.exports = { dev: { // Paths assetsSubDirectory: 'static', assetsPublicPath: '/', proxyTable: { '/api': { target: 'http://l
Access-Control-Allow-Credentials
yehui186之中期回顾
08-15 7368
前后端分离的项目中肯定会碰到跨域的问题,究其原因还是为了安全。我在一个前端工程调试过程中发现,即使我后端已经允许了跨域,但是前端依然报一个跨域错误。 Access to XMLHttpRequest at 'http://localhost/api/admin/authorizations' from origin 'http://localhost:9528' has been blocke...
Credentials 引起的cors跨域问题
衣乌安、随笔
03-31 1万+
Access-Control-Allow-Credentials 首先介绍一下Access-Control-Allow-Credentials这个响应头字段: Access-Control-Allow-Credentials,标志是否允许客户端请求携带Credentials(凭证)。Credentials可以是 cookies, authorization headers 或 TLS client...
Access-Control-Allow-Credentials:true 和 预检请求
qq_46302247的博客
04-19 1万+
跨域请求携带cookie时,请求头中要设置Access-Control-Allow-Credentials:trueAccess-Control-Allow-Credentials值为true时,Access-Control-Allow-Origin必须有明确的值,不能是通配符(*) 另:如果出现下图,接口调两次的情况,第一次是Preflight (预检请求)时,可以检查代码中是否有’Access-Control-Allow-Credentials’: true,注释掉该行,则可以避免预检请求
HTTP之跨域
weixin_45364386的博客
12-06 2363
简单理解http的跨域(Cors)
已解决:No 'Access-Control-Allow-Origin'跨域问题
08-19
此外,你还可以配置其他CORS相关的头部,比如`Access-Control-Allow-Credentials`(允许携带cookie跨域请求)、`Access-Control-Max-Age`(缓存预检请求的时间)等,来进一步定制跨域策略。 总的来说,解决"No '...
异常 AJAX 跨域请求报:No ‘Access-Control-Allow-Origin‘ header is present
01-15
3. `Access-Control-Allow-Credentials`: 如果设置为`true`,表示允许携带cookie跨域请求。默认情况下,浏览器不会发送或接收带有credentials(如cookie、授权信息)的跨域请求。 在HTMLTest文件中,可能包含了一...
解决方案 ‘Access-Control-Allow-Origin’ header in the response must not be the wildcard ‘*’
12-20
Origin`,你可能还要设置其他CORS相关的头部,如`Access-Control-Allow-Methods`(允许的方法),`Access-Control-Allow-Headers`(允许的自定义头部),以及`Access-Control-Allow-Credentials`(是否允许携带Cookie)...
allow-cors-access-control插件.zip
10-11
4. **凭证共享**:如果要跨域传输Cookie或其他认证信息,服务器还要在响应头中设置`Access-Control-Allow-Credentials`为true。 5. **缓存处理**:预检请求的结果会被浏览器缓存,以减少后续请求的延迟。 这个...
SpringBoot 实现前后端分离的跨域访问(CORS)
choufo20091108的博客
11-14 4150
社区原文链接:http://www.spring4all.com/article/177 序言:跨域资源共享向来都是热门的求,使用CORS可以帮助我们快速实现跨域访问,只在服务端进行授权即可,无在前端添加额外设置,比传统的JSONP跨域更安全和便捷。 #一、基本介绍 简单来说,COR...
跨域问题是怎样造成的?
爱写代码的程序员
05-09 803
跨域问题的由来 相信很多人都或多或少了解过跨域问题,尤其在现如今前后端分离大行其道的时候。 你在本地开发一个前端项目,这个项目是通过 node 运行的,端口是9528,而服务端是通过 spring boot 提供的,端口号是7001。 当你调用一个服务端接口时,很可能得到类似下面这样的一个错误: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gi6zOBkM-1589015502774)(https://upload-images.jianshu.io/upload_imag
allowCredentials和跨域问题
miss_na的博客
12-31 1万+
时间起源- 前段时间,要弄个简单的网站出来,访问远程的api服务。 我是这么做的。首先是在搭建一个nodejs服务来运行前端页面。在我请求登录的时候,能成功返回相应的成功信息。然后,当我再次请求读取别的接口的时候,返回的信息确实提示我尚未登录。此时此刻,我一脸蒙逼。明明我已经登陆了啊。后来偶然得知这是因为浏览器的机制问题。 -初步解决- 大概的意思是,默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的。所以,当你再次访问远程api的时候,cookie是不会被带上的,于是乎,服务器理所当然地认
漏洞系列之——CORS配置错误
LizePing_的博客
08-14 1万+
CORS配置错误漏洞描述漏洞等级漏洞危害易受攻击的示例: 漏洞描述 API 域存在站点范围的 CORS 错误配置。这允许攻击者代表用户发出跨源请求,因为应用程序没有将 Origin 标头列入白名单并且具有 Access-Control-Allow-Credentials: true 意味着我们可以使用受害者的凭据从攻击者的站点发出请求。 漏洞等级 高危 漏洞危害 BURP HEADER> Origin: https://evil.com VICTIM HEADER> Access-Control
SpringBoot 配置跨域问题处理
John的博客
07-17 1352
目前我只用一种方法,跨域专门用跨域过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我要讲解一下AllowCredentialsAllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携带的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
解决Access-Control-Allow-Credentials跨域问题
qq_44862029的博客
08-10 4028
Access-Control-Allow-Credentials跨域问题
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2324
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
nginx在http级中配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials防止跨域
01-06
在nginx中配置Access-Control-Allow-Origin和Access-Control-Allow-Credentials来防止跨域问题,可以按照以下步骤进行配置: 1. 打开nginx配置文件,通常位于`/etc/nginx/nginx.conf`或`/etc/nginx/conf.d/default.conf`。 2. 在http级别的配置块中添加以下内容: ```nginx http { ... server { ... location / { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Credentials true; ... } ... } ... } ``` 这里的`*`表示允许任何来源的请求,如果你想指定具体的来源,可以将`*`替换为相应的域名。 `add_header Access-Control-Allow-Credentials true;`表示允许发送凭据(如cookie、HTTP认证信息)。 3. 保存配置文件并重启nginx服务,使配置生效。 ```shell sudo service nginx restart ``` 这样配置后,nginx会在响应头中添加`Access-Control-Allow-Origin`和`Access-Control-Allow-Credentials`字段,从而允许跨域请求并发送凭据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值