关于源映射,我在 chromium 中遇到了一个奇怪的行为(build 181620)。在我的应用程序中,我使用的是缩小的 jquery,登录后,我开始在服务器日志文件中看到对“jquery.min.map”的 HTTP 请求。这些请求缺少 cookie 标头(所有其他请求都很好)。这些请求甚至没有在开发人员工具的 net 选项卡中公开(这对我来说并没有太多困扰)。
关键是,这个应用程序中的 js 文件应该只对登录的客户端可用,所以在这个设置中,源映射要么不起作用,要么我必须将源映射的位置更改为公共目录.
我的问题是:这是一种期望的行为(意思是源映射请求不应发送 cookie)还是 Chromium 中的错误?
InspectorFrontendHost.cpp中的String InspectorFrontendHost::loadResourceSynchronously(const String& url)实现(调用加载源映射资源)使用该标志,我相信这会导致您观察到的行为。DoNotAllowStoredCredentials
这种方法有潜在的危险,所以这个标志是为了让我们(你)保持安全,避免泄露敏感数据。
附带说明一下,jquery.min.js仅向登录用户(即,不是来自无 cookie 域的用户)提供信息在生产环境中部署并不是一个好主意。我不确定您背后的想法,但如果您确实需要避免将文件提供给未访问您网站的客户,您可以求助于检查RefererHTTP 请求标头。
我遇到了这个问题,并对为什么某些身份验证 cookie 没有在 .js.map 文件的请求中发送到我们的应用程序感到好奇。
在我使用 Chrome 71.0.3578.98 进行的测试中,如果SameSite cookie 属性设置为cookiestrict或laxcookie,则 Chrome 在请求 .js.map 文件时不会发送该 cookie。当没有sameSite限制时,cookie 将被发送。
我不知道预期行为的任何规范。