我正在开发一个我想像这样工作的登录系统:
未登录时尝试发布会弹出带有 u/p 字段的警报 -> 提交 u/p ajax 命中登录路由 -> 成功登录设置“登录”cookie -> 再次尝试发布现在成功。无需重新加载页面。
看来我已经遇到了所有这些 CORS/跨域访问控制的障碍,因为我正在使用动态子域和 XHR 请求。
您可以在anywhere.mysite.com 并且必须将跨域ajax 到user.mysite.com/login 才能登录。
为了允许 login() 设置 cookie,您必须指定来源(没有“*”通配符),设置“Access-Control-Allow-Credentials = true”标头,并使用“xhrFields”提交 ajax : {'withCredentials': true}' 参数。我可以让它工作。
我的问题是动态域。不可能在接受的来源列表中设置所有可能的子域。是否有任何可能的方法让它接受 .mysite.com 作为来源,以便所有 subdomains.mysite.com 都通过?
这篇文章列出了设置 document.domain = "company.com"; 的可能性。在 iframe 中实现这种功能,但我不确定在上面的登录流程中我会在哪里插入 iframe 或者它如何工作......
有什么想法吗?