1

我在使用 cookie 进行跨源资源共享时遇到问题。这是我的设置:

客户:

    $.ajax({
        type: 'POST',
        url: '/processReq',
        data: params,
        xhrFields: {withCredentials:true},
        crossDomain: true,
        success: ...
    });

我已经在浏览器中调试了客户端,并验证了 XMLHttpRequest.withCredentials 实际上是正确的。

服务器:

我正在设置以下标题:

res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', '*');

我的问题是我无法让浏览器存储会话 cookie,并在随后的请求中发送到服务器。

以下是浏览器中的响应标头:

{
    "server": "nginx/1.2.6",
    "date": "Fri, 01 Feb 2013 23:46:07 GMT",
    "content-type": "application/json; charset=utf-8",
    "content-length": "306",
    "connection": "keep-alive",
    "x-powered-by": "Express",
    "access-control-allow-credentials": "true",
    "access-control-allow-origin": "*",
    "set-cookie": [
        "id=s%3Azm1m...NXe4Lkr9rLw; Domain=api.mydomain.io; Path=/; Expires=Sat, 01 Feb 2014 23:46:07 GMT; HttpOnly"
    ]
}

每次我测试时,我都没有收到发送到服务器的 cookie。我错过了什么吗?任何帮助深表感谢。

4

2 回答 2

1

你不能使用('Access-Control-Allow-Origin', '*')with ('Access-Control-Allow-Credentials', true)。您需要将 显式设置Access-Control-Allow-Origin为一个值。origin如果您仍然想要“*”行为,请以编程方式将值设置为请求标头。

来自https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS?redirectlocale=en-US&redirectslug=HTTP_access_control

重要提示:在响应凭据请求时,服务器必须指定域,并且不能使用通配符。

于 2013-02-01T23:55:49.670 回答
0

另一个完全避开 CORS 的优雅选项是使用隐藏的 iframe 和window.postMessage.

API 让我们的postMessage两个浏览器框架跨域通信。基本设计如下:

  1. 加载主页domain-1.com
  2. 主页加载隐藏的 iframedomain-2.com
  3. 隐藏的 iframe 加载 javascript 以与domain-2.comAPI交互

每当主页希望跨域交谈时,它都会通过隐藏的 iframe 代理请求。没有 CORS 需要处理——没有!

一些教程:

于 2013-02-02T07:16:54.797 回答