非同源Ajax请求 Cookie问题

最新推荐文章于 2023-12-22 15:52:45 发布
最新推荐文章于 2023-12-22 15:52:45 发布
阅读量914 收藏 3
点赞数
分类专栏: 前端 文章标签: ajax CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhetmdoubeizhanyong/article/details/99702244
版权

之前前端在跨域请求服务端的时候,发现服务端已经设置了允许携带cookie,前端也在ajax请求时XHR也设置了withCredentials:true,但是就是不携带cookie,后来才发现原来如果要携带cookie,Access-Control-Allow-Origin不允许是*

第一种普通跨域,不携带cookie

//指定允许其他域名访问
'Access-Control-Allow-Origin:http://172.20.0.666'//一般用法
或者
//允许所有域名访问
'Access-Control-Allow-Origin: *' //允许所有域访问

第二种跨域, 携带Cookie

//指定允许其他域名访问
'Access-Control-Allow-Origin:http://172.20.0.666'
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
'Access-Control-Allow-Credentials:true'

同时ajax请求需要设置withCredentials:true ,否则照样不会接收cookie和发送cookie

Access-Control-Allow-Origin:
HTTP响应头,指定服务器端允许进行跨域资源访问的来源域。该字段是必须的。它的值要么是请求时Origin字段的值(指定的域),要么是一个*,表示接受任意域名的请求。

Access-Control-Allow-Credentials:
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。(若要携带cookie,Allow-Origin不能为*)

需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

上面的都是简单请求,还有复杂请求,可以看下面这篇文章

在这里

johopig
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
不同页面获取同一cookie变量值不同问题及解决方法
༺ཌ༈君纤༈ད༻
02-23 2918
在使用cookie时发现不同页面获取到的同一个cookie变量的值不同,本篇博客介绍其中一种情况的解决方法,通过设置path的方法可使得在同一个网站下获取的cookie变量一致。 问题描述 在www.xxx.com/a.html下获取cookie变量var的值和在www.xxx.com/y/b.html下获取cookie变量的值不一样,或者在a页面调用js/jquery修改了cookie变量va...
解决ajax跨域请求数据cookie丢失问题
12-08
在Web开发中,由于同源策略的限制,Ajax请求通常无法跨域获取数据,这会导致在处理登录状态、用户信息等需要使用cookie的情况时出现问题。本文将深入探讨如何解决Ajax跨域请求cookie丢失的问题。 首先,理解同源...
Servlet
hebfhef的博客
10-12 145
Servlet是什么?? 它是运行在web 服务器上的应用程序,它是作为web浏览器或其他HTTP客户端请求响应的中间层 servlet 框架搭建: servlet 中存在两个对象HttpServletRequest, HttpServletResponse HttpServletRequest : 主要用于接收界面的请求,与参数 请求的类型,请求的URL,请求的参数都可以在request 对象中获取 HttpServletResponse: 主要用于响应客户请求的结果信息 将请求的结果反馈给用户,浏览器
postMessage——不同的网页直接通过localStorage/sessionStorage/Cookies——技能提升
最新发布
yehaocheng520的博客
12-22 3018
postMessage——不同的网页直接通过localStorage/sessionStorage/Cookies——技能提升
ajax请求携带cookie和自定义请求header(跨域和同域)
热门推荐
menghuanzhiming的博客
10-29 5万+
ajax请求携带cookie、自定义header总结: 错误: 1.ajax请求时是不会自动带上cookie的,要是想让他带上的话,必须设置withCredential为true。 正确: 1.ajax同域请求下,ajax会自动带上同源cookie; 2.ajax同域请求下,ajax添加自定义请求(或原装)header,前端、后台不需要增加任何配置, 并且不会因为增加自定义请求header...
ajax如何带上cookie
Alice_124的博客
08-15 3万+
之前都有这样一个理解:ajax请求时是不会自动带上cookie的,要是想让他带上的话,必须哟啊设置withCredential为true。 这个说法会让人产生完全扭曲的误解,我就是其中之一。 完整的无歧义的表述应该是这样: 1.ajax会自动带上同源cookie,不会带上不同cookie 2. 可以通过前端设置withCredentials为true, 后端设置Header的方式让ajax自...
cookie登陆_cookie登陆,几种cookie的统一与转化
weixin_39872395的博客
11-27 253
最近在做一个cookie池项目,遇到一个问题,webdriver、requests、requests.Session、scrapy、浏览器、抓包的cookie,这几种请求相应来cookie格式都不一样,需要统一成一种格式。首先看这几种cookie的格式从正常的chrome浏览器获取储存的cookie:import browsercookie browsercookie.chrome() Ou...
详解Spring Boot 2.0.2+Ajax解决跨域请求问题
08-26
默认情况下,同源请求是不携带Cookie信息的。在Spring Boot 2.0.2中,可以通过配置`CorsConfiguration`对象来允许跨域请求携带Cookie信息。 知识点7:后端服务放开跨域请求的优缺 后端服务放开跨域请求的优点是...
Ajax请求WebService跨域问题的解决方案
12-10
标题中的“Ajax请求WebService跨域问题的解决方案”指的是在Web开发中,当使用Ajax技术尝试从一个域名()向另一个域名(目标)的WebService发送请求时,由于浏览器的同源策略限制,会遇到跨域问题同源策略是...
深入浅析Nginx实现AJAX跨域请求问题
12-02
AJAX请求中,由于同源策略的限制,一个域上的网页通常不能请求另一个域上的资。然而,通过正确配置Nginx服务器,我们可以允许特定或所有域进行跨域请求。 Nginx是一个高性能的HTTP和反向代理服务器,它可以在...
跨域携带cookie案例.rar
11-19
为了解决这个问题,我们可以利用nginx服务器的配置来实现跨域请求携带cookie。在提供的压缩包文件中,"31 - 副本"和"32 - 副本"可能是两个nginx配置示例,而"31"和"32"可能是对应的测试或修改后的配置文件。通常,...
cookie同源下不能传送吗?
liouswll的博客
07-30 1314
1.服务器端使用CROS协议解决跨域访问数据问题时,需要设置响应消息Access-Control-Allow-Credentials值为“true”。同时,还需要设置响应消息Access-Control-Allow-Origin值为指定单一域名(注:不能为通配符“*”)。 2.客户端需要设置Ajax请求属性withCredentials=true,让Ajax请求都带上Cookie。...
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 1001
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS
安全基础 --- https详解(02)、cookie和session、同源和跨域
weixin_62443409的博客
08-28 6486
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。在计算机中,尤其是在网络应用中,session被称为“会话控制是服务器为了保存用户状态而创建的一个特殊的对象同源指的是:协议、地址、端口三者都相同例:以上情况可说明ajax请求地址与当前url同源跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
到尾讲讲 cookie同源策略?跨越?解决跨域问题
TTianYe的博客
04-15 2673
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
cookie 同源
SY199505的博客
09-06 1149
同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资同源一定是同协议,同域名,同端口,只要其中一个条件不满足就是不同的。 资不仅 包括web页面,也包括cookie。http消息,dom树等 不同的话是不能读对方的cookie的。 cookie的重要字段[name][value][domain][path][expires][http
发送不同请求的基本方式
陈皮糖的博客
03-04 646
请求一个不同地址:就是我们所说的跨域请求. 同源策略中的同源指的是: 协议相同, 域名相同, 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据. 如果同源,以下三种行为都将收到限制: 1. Cookie、LocalStorage 和 IndexDB 无法读取。 2. DOM 无法获得。 3. AJAX 请求不能发送。 当前页面访问地址: http://day-12...
不同网站可以共享cookie
程宇寒
05-23 2万+
不同域名是无法共享浏览器端本地信息,包括cookies,这即是跨域问题Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109和2965都已废弃,最新取代的规范是RFC6265。服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。Cooki...
同源策略以及cookie安全策略
浮白
04-18 9322
1、引言       跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误
ajax请求如何携带cookie
05-03
Ajax请求中,可以通过设置`xhrFields`属性中的`withCredentials`为`true`来携带cookie。`xhrFields`是一个JavaScript对象,用于设置XMLHttpRequest对象的特殊属性,例如withCredentials。以下是一个示例: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值