如何跨域共享cookies?更具体地说,如何使用Set-Cookie标题与标题相结合Access-Control-Allow-Origin?
这是我的情况的解释:
我正在尝试为正在运行的 API 设置 cookielocalhost:4000在托管于的网络应用程序中localhost:3000.
我似乎在浏览器中收到了正确的响应标头,但不幸的是它们没有效果。这些是响应标头:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://localhost:3000
Vary: Origin, Accept-Encoding
Set-Cookie: token=0d522ba17e130d6d19eb9c25b7ac58387b798639f81ffe75bd449afbc3cc715d6b038e426adeac3316f0511dc7fae3f7; Max-Age=86400; Domain=localhost:4000; Path=/; Expires=Tue, 19 Sep 2017 21:11:36 GMT; HttpOnly
Content-Type: application/json; charset=utf-8
Content-Length: 180
ETag: W/"b4-VNrmF4xNeHGeLrGehNZTQNwAaUQ"
Date: Mon, 18 Sep 2017 21:11:36 GMT
Connection: keep-alive
此外,我可以看到下面的cookieResponse Cookies当我使用 Chrome 开发者工具的“网络”选项卡检查流量时。然而,我看不到在“应用程序”选项卡中设置的 cookieStorage/Cookies。我没有看到任何 CORS 错误,所以我认为我还遗漏了其他内容。
有什么建议么?
我正在使用requestReact-Redux 应用程序中的模块向/signin服务器上的端点。对于服务器我使用express。
快递服务器:
res.cookie('token', 'xxx-xxx-xxx', { maxAge: 86400000, httpOnly: true, domain: 'localhost:3000' })
在浏览器中请求:
request.post({ uri: '/signin', json: { userName: 'userOne', password: '123456'}}, (err, response, body) => {
// doing stuff
}) 我现在疯狂地设置请求和响应标头,确保它们都出现在请求和响应中。下面是一个屏幕截图。注意标题Access-Control-Allow-Credentials, Access-Control-Allow-Headers, Access-Control-Allow-Methods and Access-Control-Allow-Origin。看看我发现的问题axios 的 github,我的印象是所有必需的标头现在都已设置。然而,还是没有运气……
要允许通过 CORS 请求成功接收和发送 cookie,请执行以下操作。
后端(服务器)HTTP 标头设置:
设置 HTTP 标头Access-Control-Allow-Credentials价值true.
确保 HTTP 标头Access-Control-Allow-Origin and Access-Control-Allow-Headers已设置。不要使用通配符*。当您设置允许的来源时,请确保使用包括方案在内的整个来源,即 http 与 CORS 中的 https 不同。
有关在 Express js 中设置 CORS 的更多信息阅读此处的文档.
Cookie 设置:2021 年 Chrome 和 Firefox 更新的 Cookie 设置:
SameSite=NoneSecure做的时候SameSite=None, 环境Secure是一个要求。请参阅文档SameSite并根据要求Secure。另请注意,Chrome 开发工具现在改进了“网络”选项卡和“应用程序”选项卡中 cookie 问题的过滤和突出显示。
前端(客户端):设置XMLHttpRequest.withCredentials标记为true,这可以通过不同的方式实现,具体取决于所使用的请求响应库:
ES6 获取()这是 HTTP 的首选方法。使用credentials: 'include'.
jQuery 1.5.1出于遗留目的而提及。使用xhrFields: { withCredentials: true }.
axios作为流行的 NPM 库的示例。使用withCredentials: true.
完全避免必须执行跨站点 (CORS) 的操作。您可以通过代理来实现此目的。只需将所有流量发送到同一顶级域名并使用 DNS(子域)和/或负载平衡进行路由。对于 Nginx,这相对来说是比较省力的事情。
这种方法与 JAMStack 完美结合。 JAMStack 要求 API 和 Webapp 代码在设计上完全解耦。越来越多的用户阻止第 3 方 cookie。如果 API 和 Web 应用程序可以轻松地在同一主机上提供服务,则第 3 方问题(跨站点/CORS)就会消失。了解 JAMStackhere or here.
事实证明,如果域包含端口,Chrome 将不会设置 cookie。将其设置为localhost(没有端口)不是问题。非常感谢Erwin对于这个提示!