个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
如何跨源共享cookie?更具体地说,如何将 Set-Cookie header 与 Access-Control-Allow-Origin header 结合使用?
这是我的情况的解释:
我正在尝试为在 localhost:3000 托管的 Web 应用程序中在 localhost:4000 上运行的 API 设置 cookie。
我似乎在浏览器中收到了正确的响应 header ,但不幸的是它们没有效果。这些是响应 header :
HTTP/1.1 200 OKAccess-Control-Allow-Origin: http://localhost:3000Vary: Origin, Accept-EncodingSet-Cookie: token=0d522ba17e130d6d19eb9c25b7ac58387b798639f81ffe75bd449afbc3cc715d6b038e426adeac3316f0511dc7fae3f7; Max-Age=86400; Domain=localhost:4000; Path=/; Expires=Tue, 19 Sep 2017 21:11:36 GMT; HttpOnlyContent-Type: application/json; charset=utf-8Content-Length: 180ETag: W/"b4-VNrmF4xNeHGeLrGehNZTQNwAaUQ"Date: Mon, 18 Sep 2017 21:11:36 GMTConnection: keep-alive
此外,当我使用 Chrome 开发者工具的“网络”选项卡检查流量时,我可以在“响应 Cookie”下看到 Cookie。然而,我看不到在“存储/Cookies”下的“应用程序”选项卡中设置的 cookie。我没有看到任何 CORS 错误,因此我认为我还遗漏了其他内容。
有什么建议吗?
我在 React-Redux 应用程序中使用 request 模块向服务器上的 /signin 端点发出请求。对于服务器我使用express。
express 服务器:
res.cookie('token', 'xxx-xxx-xxx', { maxAge: 86400000, httpOnly: true, domain: 'localhost:3000' })
浏览器中的请求:
request.post({ uri: '/signin', json: { userName: 'userOne', password: '123456'}}, (err, response, body) => { // doing stuff})
我现在正在疯狂地设置请求和响应 header ,确保它们都出现在请求和响应中。下面是一个屏幕截图。请注意 header Access-Control-Allow-Credentials、Access-Control-Allow-Headers、Access-Control-Allow-Methods 和 >访问控制允许来源。看看我在 Axios's github 发现的问题,我的印象是所有必需的 header 现在都已设置。然而,仍然没有运气......
最佳答案
要允许通过 CORS 请求成功接收和发送 Cookie,请执行以下操作。
后端(服务器)HTTP header 设置:
设置 HTTP header Access-Control-Allow-Credentials 值为 true .
确保 HTTP header Access-Control-Allow-Origin 和 Access-Control-Allow-Headers 已设置。不要使用通配符 * 。当您设置允许的来源时,请确保使用包括方案在内的整个来源,即 http 与 CORS 中的 https 不同。
有关在 Express js 中设置 CORS 的更多信息 read the docs here .
Cookie 设置:2021 年 Chrome 和 Firefox 更新的 Cookie 设置:
SameSite=None Secure 做SameSite=None时,设置Secure是一个要求。请参阅 SameSite 上的文档并根据 Secure 的要求。另请注意,Chrome 开发工具现在改进了“网络”选项卡和“应用程序”选项卡中 cookie 问题的过滤和突出显示。
前端(客户端):设置 XMLHttpRequest.withCredentials 标记为true ,这可以通过不同的方式实现,具体取决于所使用的请求响应库:
ES6 fetch()这是 HTTP 的首选方法。使用credentials: 'include' .
jQuery 1.5.1出于遗留目的而提及。使用xhrFields: { withCredentials: true } .
axios作为流行的 NPM 库的示例。使用withCredentials: true .
完全避免进行跨站点 (CORS) 操作。您可以通过代理来实现此目的。只需将所有流量发送到同一顶级域名并使用 DNS(子域)和/或负载平衡进行路由。对于 Nginx,这是相对较少的工作。
这种方法与 JAMStack 完美结合。 JAMStack 要求 API 和 Webapp 代码在设计上完全解耦。越来越多的用户阻止第 3 方 cookie。如果 API 和 Web 应用程序可以轻松地在同一主机上提供服务,则第 3 方问题(跨站点/CORS)就会消失。了解 JAMStack here或here .
事实证明,如果域包含端口,Chrome 将不会设置 cookie。将其设置为 localhost (没有端口)不是问题。非常感谢Erwin对于这个提示!
关于authentication - 为跨源请求设置cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46288437/
25
4
0
在我的应用程序中播放背景音乐时遇到问题。 首先,我在第一个 Storyboard View Controller 中的 ViewDidLoad 方法中开始播放音乐。即使我从一个页面跳转到另一个页面,它
我想跨行连接数组,然后进行不同的计数。理想情况下,这会起作用: WITH test AS ( SELECT DATE('2018-01-01') as date, 2 as value,
这是一个场景: Repo A 是一个包含大量模块和依赖项的怪异代码。安装起来并不容易。它由其他人维护并托管在 Github 上。 Repo A 包含一个非常有用的模块 X,并且几乎不依赖于 Repo
目前,我在一台服务器上运行了一个应用程序。有一个 crontab 设置,因此根据指定的规则,在某些时间运行任务。 现在,我正在考虑将我的应用程序迁移到 docker 容器中,以便我能够独立运行我的应用
我有一个全局表,我想在两个不同的 Lua 状态之间保持同步。根据我所阅读和理解的内容,唯一的方法似乎是,在我的 C 后端,在状态之间进行表的深层复制(如果表已被修改)。有没有更好的办法 ? 另外,我看
我们目前有一个 asmx webservice,它公开了一个方法来对 Sql 数据库进行各种更新,内部包装在 SqlTransaction 中。 我正在 WCF 中重写此服务,我们希望将现有方法拆分为
我是 Qt 的新手,所以请原谅这个问题的简单性,但我对 Qt 线程有点困惑。假设我有 3 个线程:主要的默认 GUI 线程和我自己创建的 2 个线程(称为 WorkerThread)。我的每个 Wor
我们的产品有一个 Restful API 和一个服务器渲染的应用程序(CMS)。两者共享数据库。两者都是用django编写的 两者所需的字段和模型并不是相互排斥的,有些仅针对 API,有些针对 CMS
我正在实现一个基于角色的访问控制系统,它具有以下数据库表。 groups --------- id (PK) name level resources --------- id (PK) name r
我有三个应用程序,为了便于管理,我希望将它们分开。他们按照建议作为 Plack 服务器运行 here , 代理在 nginx 后面。 我想有一个单独的应用程序来管理登录,并在所有其他应用程序之间共享该
我的主窗口上有一个 UIWebView。我可以通过我的第二个 View Controller 来控制它吗?如果可以的话你能给我举个例子吗? 最佳答案 是的,你可以。 “如何”是一个基本的 Cocoa/
我想制作一个小型应用程序,从连接到串行端口的设备收集数据,并将其通过 LAN 传递到另一个应用程序,后者将其存储在数据库中。 我已经在一台 PC 上的一个应用程序中完成了此操作,因此实际上会将应用程序
从主 AppDomain,我试图调用在不同 AppDomain 中实例化的类型中定义的异步方法。 比如下面的类型MyClass继承自 MarshalByRefObject并在新的 AppDomain
因为 LiveServerTestCase继承自 TransactionTestCase ,默认行为是在每个测试方法结束时删除测试数据。我想用LiveServerTestCase类,但保留方法之间的测
我正在开发我的第一个 WPF/MVVM 应用程序,但我在命令知识方面遇到了限制! 这是我的场景。 我有一个窗口——Customer.xaml。 它包含 2 个用户控件 查看CustomerSearch
这是我的 WPF 应用程序模型的简化版本: Employee +Name:string Client +Name:string +PhoneNumber:string Appointmen
我有一个 mercurial 存储库,它使用子存储库功能(如 .hgsub 文件中定义的)引入依赖项,但我正在努力让它在 TeamCity 中工作。 我启用了 mercurial_keyring 扩展
我正在尝试使用新的 Azure 虚拟网络公共(public)预览版的对等互连功能来加入我在两个不同订阅(即不同租户)上拥有的两个网络。这可能吗?我没有看到任何其他说法,但是当我尝试在 PowerShe
我有 2 个存储库。由于主干代码位于一个 protected 存储库中,因此我进行了 checkout ,然后 checkin 到另一个存储库(因为用户没有第一个 protected 存储库的权限)。
我有一个项目,其调用结构与此类似: 主要项目/应用 我的图书馆代码 别人的库代码 我的图书馆代码 一切都是用 C# 编写的,我可以访问“其他人的库代码”。他们的代码不包含在我的项目中,因为它是开源的而
我是一名优秀的程序员,十分优秀!