我在 foo.com 有一个应用程序,它为“插件”小部件提供 javascript,并成功接收并响应来自脚本的 JSON API 请求。该脚本由 foo.com 提供,但嵌入到 bar.com。
JSON API、插件脚本和 JSESSIONID cookie 都是来自 foo.com 的第一方,执行上下文是第三方 bar.com。
问:我的问题是 foo.com 的 JSESSIONID 没有发送回服务器,所以插件脚本(来自 foo.com)总是获得一个新的会话,并且不能保持登录到 foo.com。
对于将 JSESSIONID 发送回 foo.com 的任何帮助,我表示感谢。
一些细节:
jQuery 由 bar.com 提供,并被 foo.com 上的脚本用于发送请求。
在我的开发平台上,foo.com 和 bar.com 在不同的非标准端口(84 和 8080)上运行。
通常,相同的来源策略似乎适用,并且在 foo.com 上将 Access-Control-Allow-Origin 设置为 * 以允许 bar.com 访问 foo.com。
只要来自插件的 HTTP 请求包含 JSESSIONID,bar.com 甚至来自 foo.com 的脚本都需要读取 cookie。