2. 程式人生 > >CORS跨域傳送Cookie

CORS跨域傳送Cookie

阿新 發佈:2019-01-01

引言

由於預設情況下瀏覽器對跨域請求不允許攜帶Cookie,所以這次開發再與前端同學在許可權驗證這塊踩了好多坑,故將一些教訓寫下來,共勉!

CROS

在 2014 年 W3C 釋出了 CORS Recommendation 來允許更方便的跨域資源共享,同時CORS也允許我們使用額外的相應頭欄位來允許跨域傳送Cookie。

模擬前端程式碼

設定withCredentialstrue即可讓該跨域請求攜帶 Cookie。 注意攜帶的是目標頁面所在域的 Cookie。以JQuery示例

$.ajax({
   type: "GET",
   url: "http://localhost:8080/seek/userinfo/#{xxxxx}"
 
,
   async:false,
   xhrFields: {
      withCredentials: true
   },
   success: function(msg){
     alert(msg.msg);
	
    }
   
});

模擬後端程式碼

此處還需要設定伺服器接受跨域傳送的Cookie。 否則會被瀏覽器的同源策略擋住:
伺服器主要是設定response access-control-allow-credentials為"true", 即可允許跨域請求攜帶 Cookie。
相關程式碼如下:

response.setHeader("Access-Control-Allow-Origin"
 
, request.getHeader("Origin")); 		
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT"); 		
response.setHeader("Access-Control-Max-Age", "3600"); 		
response.setHeader("Access-Control-Allow-Headers", "Origin, Content-Type, X-Auth-Token , Authorization"); 		response.setHeader("Access-Control-Allow-Credentials"
 
, "true");;

注意要點

跨域傳送 Cookie 還要求 Access-Control-Allow-Origin不允許使用萬用字元事實上不僅不允許萬用字元,而且只能指定單一域名
原文如下:

If the credentials flag is true and the response includes zero or more than one Access-Control-Allow-Credentials header values return fail and terminate this algorithm. –W3C Cross-Origin Resource Sharing

我採取的策略是request.getHeader(“Origin”)每次都獲取請求的源,但是這樣做的缺點也是很多的,主要就是不安全,任意請求攜帶Cookie都可以接受,最好的就是服務端可以維護一個接受Cookie的Origin列表,驗證Origin後在將其設定為Access-Control-Allow-Origin的值。

結束語

在正確配置後就可以跨域傳送Cookie進行客戶端與服務端之間相關的一些會話了,當然如果直接就是同一域的話,那就肯定沒這些問題啦,有時間再在這塊深入一下^_^!

相關推薦

CORS傳送Cookie

引言由於預設情況下瀏覽器對跨域請求不允許攜帶Cookie,所以這次開發再與前端同學在許可權驗證這塊踩了好多坑,故將一些教訓寫下來,共勉!CROS在 2014 年 W3C 釋出了 CORS Recommendation 來允許更方便的跨域資源共享,同時CORS也允許我們使用額外

jquery使用CORS請求時(前後端分離通過nginx部署前端),cookie丟失問題

1. 我遇到的問題專案通過前後端分離模式開發,部署時:前端獨立部署在nginx上,登入成功後會往使用者地址上寫入cookie資訊,前端呼叫後臺地址時通過在nginx中配置location,後臺介面系統中有攔截器會攔截判斷前端頁面是否攜帶cookie資訊過來:此時發現出現coo

cors之簡單請求與預檢請求(傳送自定義請求頭)

引子 前後端分離這個問題,對cors的應用不斷增多,暴露出的問題也接踵而至。 正所謂慮一千次,不如去做一次。 猶豫一萬次,不如

Ajax請求COOKIE無法帶上的解決辦法

tar function jquery question logs request cross xmlhttp quest 本文參考https://stackoverflow.com/questions/12840410/how-to-get-a-cookie-from-a

CORS——請求那些事兒

lob 有效期 site cati 項目 light 另一個 send 決定 在日常的項目開發時會不可避免的需要進行跨域操作,而在實際進行跨域請求時,經常會遇到類似 No ‘Access-Control-Allow-Origin‘ header is present on

cors問題

sco vs2015 不能 allow 並不會 name config 狀態 添加 這兩天公司布置一個特別簡單的管理系統,增刪查改四個接口,前端使用技術(html/css/angularjs),後臺(c#/mvc),數據庫(mysql) 前端寫完,後臺寫完,在交互的時候就遇

CORS請求總結

eve log 那種 http lencod pos 方法 ref orm CORS跨域請求分為簡單請求和復雜請求。 1. 簡單請求: 滿足一下兩個條件的請求。 (1) 請求方法是以下三種方法之一: HEAD GET POST (2)HTTP的頭信息不超出以下幾種字段:

CORS資源共享你該知道的事兒

自身 沒有 對象的使用方法 one 一起 接受 gpm spa eat “嘮嗑之前,一些客套話” CORS跨域資源共享,這個話題大家一定不陌生了,吃久了大轉轉公眾號的深度技術好文,也該吃點兒小米粥溜溜胃裏的縫兒了,今天咱們就再好好屢屢CORS跨域資源共享這個話題,大牛怡情

前端-關於CORS的解決方案,面向服務端

red 瀏覽器 環境 和我 methods retrieve name 後臺 一件事 最近自己在寫後臺管理系統的時候,並沒有采用jsp、freemaker、葉子等模板技術,而是由後端提供數據api,前端通過AJAX和JQuery來動態操作頁面上的一些div、table元素,

Java實現CORS請求

先來 pty contain type 資源共享 服務端 header req options 問題 使用前後端分離模式開發項目時,往往會遇到這樣一個問題 -- 無法跨域獲取服務端數據 這是由於瀏覽器的同源策略導致的,目的是為了安全。在前後端分離開發模式備受青睞的今天,前

java Ajax請求COOKIE無法帶上的解決辦法

coo $.ajax test style dem log json bsp ros 1.web.xml加入以下節點,,一定放在第一個filter <!--目錄下所有文件可以跨域Begin--> <filter> <filter-

CORS 請求

seh ces .html set zip 同時 頭信息 agent client 一、簡介 CORS需要瀏覽器和服務器同時支持。目前,所有瀏覽器都支持該功能,IE瀏覽器不能低於IE10。 整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與。對於開發者來說,CORS通

spring boot Cors

-a control app ppi map ring als cor spring 在訪問web工程的時候,經常會報一些跨域的錯誤:CORS header ‘Access-Control-Allow-Origin’ missingspring boot中的cors設定方式

CORS請求:前後端分離

跨域 請求過濾器: /** * OncePerRequestFilter保證在任何Servlet容器中都是一個請求只執行一次的過濾器。 */ public class CorsFilter extends OncePerRequestFilter { @Override protected void do

關於CORS問題的理解

當前 get 說明 multipart 服務 tom HP gin 範圍 起因 因為這段時間一個項目前後端分別部署在不同服務器的需要,抽空學習了一下CORS問題,不足之處,歡迎指教. 什麽是CORS CORS是一個w3c標準,全稱是"跨域資源共享"(Cross-orig

關於cookie問題

true 博客 分享 quest 瀏覽器 clas 大神 cors 你會 cors下的cookie問題可以參考阮一峰的博客鏈接:http://www.ruanyifeng.com/blog/2016/04/cors.html 但是在實際開發當中還是會遇到點小問題,這裏記錄一

CORS 與 TP5中的解決方案

在做專案過程中,使用Vue-element-admin作為前端,ThinkPHP5作為後端框架進行開發,會遭遇跨域問題,本文給出ThinkPHP5解決跨域 1.CORS的概念     CORS(Cross-Origin Resource Sharing 跨源資源共享),當

cors請求問題 關於spring -springmvc -mybatis .基於xml配置方式

1:場景還原     今天要寫一個方法, 需求是  在購物車服務上,  呼叫一個個人中心的方法 ,用到了 跨域請求.      我就在個人中心的 上面寫了個方法, 並在springMVC.xml中,配置了    &

Shiro框架在CORS訪問中遇到的問題及解決

背景 最近做一個前後端分離的專案時,使用shiro做許可權管理時遇到跨域問題,這裡做一下記錄。   原因 後端通過Shiro配置URL過濾, shiroFilterFactoryBean.setLoginUrl("/unauth"); 預設對於沒有授權的訪問

CORS與Nginx反向代理

最近的專案都是關於前後端分離的,當我們把專案橫向分層前後端分離後,由於瀏覽器安全限制會發現請求出現異常,主要原因是瀏覽器的同源策略(協議、域名和埠)是否相同。 解決方案: 解決跨域的方法有很多,如 (1)通過jsonp跨域 (2)通過修改document.domain來跨子域 (3)