CORS跨域发送Cookie

原創 yiranblade 2020-06-03 01:21

引言

由于默认情况下浏览器对跨域请求不允许携带Cookie,所以这次开发再与前端同学在权限验证这块踩了好多坑,故将一些教训写下来,共勉!

CROS

在 2014 年 W3C 发布了 CORS Recommendation 来允许更方便的跨域资源共享,同时CORS也允许我们使用额外的相应头字段来允许跨域发送Cookie。

模拟前端代码

设置withCredentialstrue即可让该跨域请求携带 Cookie。 注意携带的是目标页面所在域的 Cookie。以JQuery示例

$.ajax({
   type: "GET",
   url: "http://localhost:8080/seek/userinfo/#{xxxxx}",
   async:false,
   xhrFields: {
      withCredentials: true
   },
   success: function(msg){
     alert(msg.msg);
	
    }
   
});

模拟后端代码

此处还需要设置服务器接受跨域发送的Cookie。 否则会被浏览器的同源策略挡住:
服务器主要是设置response access-control-allow-credentials为"true", 即可允许跨域请求携带 Cookie。
相关代码如下:

response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); 		
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT"); 		
response.setHeader("Access-Control-Max-Age", "3600"); 		
response.setHeader("Access-Control-Allow-Headers", "Origin, Content-Type, X-Auth-Token , Authorization"); 		response.setHeader("Access-Control-Allow-Credentials", "true");;

注意要点

跨域发送 Cookie 还要求 Access-Control-Allow-Origin不允许使用通配符事实上不仅不允许通配符,而且只能指定单一域名
原文如下:

If the credentials flag is true and the response includes zero or more than one Access-Control-Allow-Credentials header values return fail and terminate this algorithm. –W3C Cross-Origin Resource Sharing

我采取的策略是request.getHeader(“Origin”)每次都获取请求的源,但是这样做的缺点也是很多的,主要就是不安全,任意请求携带Cookie都可以接受,最好的就是服务端可以维护一个接受Cookie的Origin列表,验证Origin后在将其设置为Access-Control-Allow-Origin的值。

结束语

在正确配置后就可以跨域发送Cookie进行客户端与服务端之间相关的一些会话了,当然如果直接就是同一域的话,那就肯定没这些问题啦,有时间再在这块深入一下^_^!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【未完】关于ConditionalOnClass注解

1. pom文件 標籤 依賴配置文件我們經常接觸到,但對<optional>標籤理解可能一知半解(以我的角度,在這之前沒有關注過),或者是你沒看下面內容,都不知道optional應該放在什麼地方。 <optional>標籤在pom文件中長

帥氣的濤啊 2024-05-14 14:37:18

Mellanox网卡开启SR-IOV

Mellanox網卡開啓SR-IOV SR-IOV是網卡虛擬化的一個重要功能。本文講介紹如何在Mellanox網卡上開啓SR-IOV,並創建一些VF。 參考:Mellanox網卡開啓SR-IOV方法簡介-天翼雲開發者社區 - 天翼雲 (ct

CQzhangyu 2024-05-14 14:33:58

linux安装cuda和cudnn

// 安裝cuda wget https://developer.download.nvidia.com/compute/cuda/repos/wsl-ubuntu/x86_64/cuda-wsl-ubuntu.pinsudo mv cud

aozengling 2024-05-14 14:33:48

连接SQL Server报错

將框架從.NET6升級到8,順便將各種依賴包也升級,容器化部署到測試環境後,SQL Server連接不了了: [2024-05-13 13:48:10 ERR] [Microsoft.EntityFrameworkCore.Databas

雪飛鴻 2024-05-14 14:29:37

uni-app实现上拉加载

  參考文檔代碼: 1 <template> 2 <view> 3 <!-- 省略其他內容 --> 4 <view v-for="item in dataList" :key="item.id">{{ item

賴忠標 2024-05-14 14:29:07

全面系统的AI学习路径,帮助普通人也能玩转AI

前言 現如今AI技術和應用的發展可謂是如火如荼,它們在各個領域都展現出了巨大的潛力和影響力。AI的出現對於我們這些普通人而言也是影響匪淺,比如說使用AI工具GPT來寫文檔查問題、使用AI輔助編程工具幫助我們寫代碼、並且可是使用AI來實現人工

追逐時光 2024-05-14 14:27:17

vue3编译优化之“静态提升”

前言 在上一篇 vue3早已具備拋棄虛擬DOM的能力了文章中講了對於動態節點,vue做的優化是將這些動態節點收集起來,然後當響應式變量修改後進行靶向更新。那麼vue對靜態節點有沒有做什麼優化呢?答案是:當然有,對於靜態節點會進行“靜態提升”

你假裝沒察覺 2024-05-14 14:26:37

计划做点事情-跳槽

【最近想做什麼了】 最近想跳槽了 【爲什麼要做這個】 現在的待遇有點低,或者說是太低了,想起來就覺得慘,難受,羞愧; 目前看,在當前公司沒有發展前景,升級調薪機會不大,也太慢了;轉崗OD要再等一年多,而且,政策千變萬化,到時候大概率就不滿

eonie 2024-05-14 14:25:27

又是一个月-20240513

【今天又是什麼日子】 今天 是2024年5月13日,五一假期補班後第一週的第一天; 是母親節,結婚一週年紀念日的第一天; 是某個同事在職的最後一天; 是又忙忙碌碌一個月一事無成後的普通的一天; 【上次來是什麼時候】 上次是2024年4月8日

eonie 2024-05-14 14:25:27

linux服务器设置ssh免密

http://www.mobiletrain.org/about/BBS/150708.html

張博的博客 2024-05-14 14:25:07

flask 如何保证返回json有序

return Response(json.dumps(ret), mimetype='application/json') return jsonify(med_data[int(req_data['from']):int

張博的博客 2024-05-14 14:25:07

cmakelist的一个例子

一個例子,僅做參考用:   CMAKE_MINIMUM_REQUIRED(VERSION 3.12) set(ProjName "NetworkTest") project(${ProjName}) string(FIND ${CMAK

xcywt 2024-05-14 14:18:46

apisix~lua插件开发与插件注册

開發插件的步驟 在APISIX中,要自定義插件,一般需要按照以下步驟進行操作: 編寫Lua腳本:首先,你需要編寫Lua腳本來實現你想要的功能。可以根據APISIX提供的插件開發文檔和示例進行編寫。 將Lua腳本放置到APISIX插件

張佔嶺 2024-05-14 14:17:56

apisix~自定义插件的部署

參考 https://docs.api7.ai/apisix/how-to-guide/custom-plugins/create-plugin-in-lua https://apisix.apache.org/docs/apisix/n

張佔嶺 2024-05-14 14:17:56

HTML 00 Tutorial

  HTML stands for HyperText Markup Language, it is a Standard Markup language for web pages. HTML is used to create cont

emanlee 2024-05-14 14:15:45