前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >跨域ajax请求中的cookie传输问题

跨域ajax请求中的cookie传输问题

作者头像
跑马溜溜的球
发布2020-12-07 14:31:40
2.1K0
发布2020-12-07 14:31:40
举报
文章被收录于专栏:日积月累1024

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 对CORS协议不了解的同学,可以猛击这里

今天我们来讨论其中的cookie传输问题。

场景:

代码语言:javascript
复制
http://a.com/test.html向
http://b.com/test.php
发起ajax请求。

test.php种cookie name:ball
test.html第二次发起请求时,希望将cookie(name:ball)带给test.php。

1. 实现

代码如下:

a.com/test.html
代码语言:javascript
复制
<body>
    <script src="/jquery.min.js"></script>
    <script>
        var url = "http://b.com/test.php";
        $.ajax({
            url:url,
            type:"GET",
            xhrFields:{
                withCredentials:true
            },
            success:function(res){ 
                console.log(res);
            }
        })    
    </script>
</body> 

说明:

  • withCredentials:true是关键。只有加上此选项,浏览器才会允许跨域携带cookie。
b.com/test.php
代码语言:javascript
复制
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://a.com");
if (count($_COOKIE)){
    echo json_encode($_COOKIE);
}
else{
    header("Set-Cookie:name=ball;path=/");
}

说明:

- Access-Control-Allow-Credentials: true

与浏览器侧的withCredentials:true成对使用,表明服务端许可发cookie。

- Access-Control-Allow-Origin: http://a.com

表示服务端接收a.com的请求。如果请求时不需要带cookie,此字段可以写*,表明该站接收所有来源的ajax请求。如果需要传输cookie, 该字段只能写一个固定来源。

访问test.html,第二次时如愿在console里看到

代码语言:javascript
复制
{"name":"ball"}

这说明:

  1. b.com成功种下了cookie
  2. a.com成功在跨域ajax请求中带上了cookie

2. 探讨

2.1 test.php是将cookie是种到了a.com下还是b.com下呢?

我们在a.com和b.com下分别添加 cookie.php

代码语言:javascript
复制
var_dump($_COOKIE);

执行后发现,a.com下的cookie.php输出为空。cookie其实是种到了b.com下。

2.2 服务端单方面种cookie是否会成功?

既然2.1中的结论是cookie种到了b.com下,那么在发ajax请求时去掉

代码语言:javascript
复制
xhrFields:{
    withCredentials:true
}

test.php是否能成功在b.com下种cookie呢? 修改代码后执行test.html,test.php在Response Headers中依然种了cookie,如下图所示。

image
image

然后我们访问

代码语言:javascript
复制
b.com/cookie.php

发现cookie并没能如愿种下。

2.3 a.com能否把自己域下的cookie带给b.com?

我们在a.com下事先种下cookie:name=x 访问test.html, 如下图所示

image
image

Resquest Headers中只带了b.com下的name=ball。并没有发送a.com下的cookie

2.4 a.com/test.html会因此能读到b.com下的cookie么?

我们访问a.com/test.html, 然后打开控制台。执行document.cookie,结果空空如野。

3. 总结

  1. A站向B站发起跨域ajax时,只能携带B站下的cookie给B。
  2. B站只有在A站允许的情况下,才能在跨域ajax中向自己的域下种cookie。
  3. 即使A,B站达成cookie传输协议,A站页面也不会因此能拿到B站的cookie。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018/10/31 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 实现
    • a.com/test.html
      • b.com/test.php
      • 2. 探讨
        • 2.1 test.php是将cookie是种到了a.com下还是b.com下呢?
          • 2.2 服务端单方面种cookie是否会成功?
            • 2.3 a.com能否把自己域下的cookie带给b.com?
              • 2.4 a.com/test.html会因此能读到b.com下的cookie么?
              • 3. 总结
              领券
              问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档