关于Ajax请求携带Cookie访问失效的解决方案

问题描述

  在使用ajax请求其他平台时进行登录处理，cookie携带时失效。(使用PHP与Jquery作为演示)   例如，当我的域名 www.example.com 调用Ajax访问 api.exmaple.com时进行登录操作,这个时候api.example.con的响应中肯定会有一条类似为Set-Cookie: PHPSESSID=6ut2plej880p83ja9f76doue1i; path=/ 但是当页面刷新后，重新去访问api.example.com时你会发现这个session已经失效了。

问题原因

  由于一般的现代浏览器均遵从跨域请求规范，即Access-Control-Allow-Origin和Access-Control-Allow-Credentials。前者的作用为，允许指定域名跨域请求，后者作用为是否允许请求时携带验证信息(即Cookie等其他信息)

具体可参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Allow-Origin https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials

解决方案

  对于服务端需要添加两个header(Access-Control-Allow-Origin与Access-Control-Allow-Credentials)，同时注意Access-Control-Allow-Origin必须指定单个域名，不能为通配符*,Access-Control-Allow-Credentials为true。   对于Ajax请求端，可以直接设置ajax的全局属性

$.ajaxSetup({xhrFields: { //全局设置AJAX携带COOKIE
    withCredentials: true
}});