CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 对CORS协议不了解的同学,可以猛击这里。
今天我们来讨论其中的cookie传输问题。
场景:
http://a.com/test.html向
http://b.com/test.php
发起ajax请求。
test.php种cookie name:ball
test.html第二次发起请求时,希望将cookie(name:ball)带给test.php。
代码如下:
<body>
<script src="/jquery.min.js"></script>
<script>
var url = "http://b.com/test.php";
$.ajax({
url:url,
type:"GET",
xhrFields:{
withCredentials:true
},
success:function(res){
console.log(res);
}
})
</script>
</body>
说明:
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://a.com");
if (count($_COOKIE)){
echo json_encode($_COOKIE);
}
else{
header("Set-Cookie:name=ball;path=/");
}
说明:
与浏览器侧的withCredentials:true成对使用,表明服务端许可发cookie。
表示服务端接收a.com的请求。如果请求时不需要带cookie,此字段可以写*,表明该站接收所有来源的ajax请求。如果需要传输cookie, 该字段只能写一个固定来源。
访问test.html,第二次时如愿在console里看到
{"name":"ball"}
这说明:
我们在a.com和b.com下分别添加 cookie.php
var_dump($_COOKIE);
执行后发现,a.com下的cookie.php输出为空。cookie其实是种到了b.com下。
既然2.1中的结论是cookie种到了b.com下,那么在发ajax请求时去掉
xhrFields:{
withCredentials:true
}
test.php是否能成功在b.com下种cookie呢? 修改代码后执行test.html,test.php在Response Headers中依然种了cookie,如下图所示。
然后我们访问
b.com/cookie.php
发现cookie并没能如愿种下。
我们在a.com下事先种下cookie:name=x 访问test.html, 如下图所示
Resquest Headers中只带了b.com下的name=ball。并没有发送a.com下的cookie
我们访问a.com/test.html, 然后打开控制台。执行document.cookie,结果空空如野。