之前前端在跨域请求服务端的时候,发现服务端已经设置了允许携带cookie,前端也在ajax请求时XHR也设置了withCredentials:true,但是就是不携带cookie,后来才发现原来如果要携带cookie,Access-Control-Allow-Origin不允许是*
第一种普通跨域,不携带cookie
//指定允许其他域名访问
'Access-Control-Allow-Origin:http://172.20.0.666'//一般用法
或者
//允许所有域名访问
'Access-Control-Allow-Origin: *' //允许所有域访问
第二种跨域, 携带Cookie
//指定允许其他域名访问
'Access-Control-Allow-Origin:http://172.20.0.666'
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
'Access-Control-Allow-Credentials:true'
同时ajax请求需要设置withCredentials:true ,否则照样不会接收cookie和发送cookie
Access-Control-Allow-Origin
:
HTTP响应头,指定服务器端允许进行跨域资源访问的来源域。该字段是必须的。它的值要么是请求时Origin字段的值(指定的域),要么是一个*,表示接受任意域名的请求。
Access-Control-Allow-Credentials
:
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。(若要携带cookie,Allow-Origin不能为*)
需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。