开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Chrome忽略扩展程序中XMLHttpRequest的Set-Cookie响应标头

在这个问答内容中，我们讨论了Chrome浏览器在处理扩展程序中的XMLHttpRequest时忽略Set-Cookie响应标头的问题。

首先，XMLHttpRequest是一种用于在客户端和服务器之间传输数据的技术。它允许网页向服务器发送异步请求，从而实现在不刷新整个页面的情况下更新部分网页内容。

在Chrome浏览器中，出于安全和隐私的考虑，扩展程序中的XMLHttpRequest默认不会接收Set-Cookie响应标头。这意味着扩展程序无法直接访问服务器返回的Cookie信息。

然而，在某些情况下，扩展程序可能需要访问服务器返回的Cookie信息。为了解决这个问题，Chrome提供了一个名为"extraHeaders"的属性，可以用来在扩展程序中显式请求Set-Cookie响应标头。

要使用"extraHeaders"属性，您需要在XMLHttpRequest对象的open()方法中设置"withCredentials"属性为true。然后，在send()方法中添加"extraHeaders"属性，如下所示：

var xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/api", true);
xhr.withCredentials = true;
xhr.onreadystatechange = function() {
  if (xhr.readyState == 4 && xhr.status == 200) {
    console.log(xhr.responseText);
  }
};
xhr.setRequestHeader("extraHeaders", "Set-Cookie");
xhr.send();

请注意，在使用"extraHeaders"属性时，您需要确保服务器已经配置为允许跨域请求，并且已经设置了正确的CORS策略。

总之，Chrome浏览器在处理扩展程序中的XMLHttpRequest时默认忽略Set-Cookie响应标头，但是可以通过设置"extraHeaders"属性来显式请求它。在使用"extraHeaders"属性时，请确保服务器已经配置为允许跨域请求，并且已经设置了正确的CORS策略。

相关搜索:HTTP响应中的标头顺序是否重要？Spring集成ObjectToJsonTransformer和响应中的标头传播从Typescript中的http响应中获取标头值删除PHP - Laravel API响应中的所有标头响应中的HTTP标头无效响应式设计中的标头。在python控制台之外的chrome扩展弹出窗口中显示post响应(XMLHttpRequest 在python的以下请求中，Set-Cookie from标头未作为Cookie发送在响应中返回仅包含标头的csv文件如何使用服务器401响应中的标头

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

跨域资源共享（CORS）

这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源，除非响应报文包含了正确CORS响应头 CORS机制支持安全的跨域请求以及浏览器和服务器之间的数据传输。...ReadableStream请求中未使用任何对象。注意：这些与Web内容已经可以发出的跨站点请求种类相同，除非服务器发送适当的标头，否则不会将响应数据释放给请求者。...此外，设置了非标准的HTTP Ping-Other请求标头。此类标头不是HTTP / 1.1的一部分，但通常对Web应用程序有用。...请注意，Set-Cookie上面示例中的响应头也设置了另一个cookie。如果发生故障，则会引发一个异常（取决于所使用的API）。...请注意，简单的GET请求不会被预先处理，因此，如果对具有凭据的资源进行请求，则如果此标头未随资源一起返回，则浏览器将忽略该响应，并且该响应不会返回到Web内容。

3.5K5 0

跟我一起探索 HTTP-跨源资源共享（CORS）

这意味着使用这些 API 的 Web 应用程序只能从加载应用程序的同一个域请求 HTTP 资源，除非响应报文包含了正确 CORS 响应头。...，但是，如果 https://bar.other 的响应中缺失 Access-Control-Allow-Credentials: true`（第 16 行），则响应内容会被忽略，不会提供给 web 内容...另外，响应标头中也携带了 Set-Cookie 字段，尝试对 Cookie 进行修改。如果操作失败，将会抛出异常。...HTTP 响应标头字段本节列出了服务器为访问控制请求返回的 HTTP 响应头，这是由跨源资源共享规范定义的。上一小节中，我们已经看到了这些标头字段在实际场景中是如何工作的。...请注意：简单 GET 请求不会被预检；如果对此类请求的响应中不包含该字段，这个响应将被忽略掉，并且浏览器也不会将相应内容返回给网页。

2513 0

对不起，看完这篇HTTP，真的可以吊打面试官

对于应用程序中不会更改的文件，通常可以添加主动缓存。...也就是说使用这些 API 的应用程序想要请求相同的资源，那么他们应该具有相同的来源，除非来自其他来源的响应包括正确的 CORS 标头也可以。...注意上面示例中的 Set-Cookie 响应标头还设置了另外一个值，如果发生故障，将引发异常（取决于所使用的API）。...创建 Cookie 当接收到客户端发出的 HTTP 请求时，服务器可以发送带有响应的 Set-Cookie 标头，Cookie 通常由浏览器存储，然后将 Cookie 与 HTTP 标头一同向服务器发出请求...Set-Cookie 和 Cookie 标头 Set-Cookie HTTP 响应标头将 cookie 从服务器发送到用户代理。

6.3K2 1

震惊 | HTTP 在疫情期间把我吓得不敢出门了

对于应用程序中不会更改的文件，通常可以添加主动缓存。...也就是说使用这些 API 的应用程序想要请求相同的资源，那么他们应该具有相同的来源，除非来自其他来源的响应包括正确的 CORS 标头也可以。...注意上面示例中的 Set-Cookie 响应标头还设置了另外一个值，如果发生故障，将引发异常（取决于所使用的API）。...创建 Cookie 当接收到客户端发出的 HTTP 请求时，服务器可以发送带有响应的 Set-Cookie 标头，Cookie 通常由浏览器存储，然后将 Cookie 与 HTTP 标头一同向服务器发出请求...Set-Cookie 和 Cookie 标头 Set-Cookie HTTP 响应标头将 cookie 从服务器发送到用户代理。

5.2K2 0

实用，完整的HTTP cookie指南

后端是指可以通过以下方式创建 Cookie：后端实际应用程序的代码(Python、JavaScript、PHP、Java) 响应请求的Web服务器（Nginx，Apache）后端可以在 HTTP 请求求中...Set-Cookie的响应标头。...Set-Cookie标头是了解如何创建cookie的关键： response.headers["Set-Cookie"] = "myfirstcookie=somecookievalue" 大多数框架都有自己设置...为了允许在CORS请求中传输cookie，后端还需要设置 Access-Control-Allow-Credentials标头。...基于会话的身份验证身份验证是 cookie 最常见的用例之一。当你访问一个请求身份验证的网站时，后端将通过凭据提交（例如通过表单）在后台发送一个Set-Cookie标头到前端。

5.8K4 0

HTTP cookie 完整指南

后端是指可以通过以下方式创建 Cookie：后端实际应用程序的代码(Python、JavaScript、PHP、Java) 响应请求的Web服务器（Nginx，Apache）后端可以在 HTTP 请求求中...Set-Cookie的响应标头。...Set-Cookie标头是了解如何创建cookie的关键： response.headers["Set-Cookie"] = "myfirstcookie=somecookievalue" 大多数框架都有自己设置...为了允许在CORS请求中传输cookie，后端还需要设置 Access-Control-Allow-Credentials标头。...基于会话的身份验证身份验证是 cookie 最常见的用例之一。当你访问一个请求身份验证的网站时，后端将通过凭据提交（例如通过表单）在后台发送一个Set-Cookie标头到前端。

4.1K2 0

JavaScript中的Fetch

概念 Fetch 是一个现代的概念, 等同于 XMLHttpRequest。它提供了许多与XMLHttpRequest相同的功能，但被设计成更具可扩展性和高效性。...Fetch 还提供了专门的逻辑空间来定义其他与 HTTP 相关的概念，例如 CORS 和 HTTP 的扩展。...其他网站的 Set-Cookie 头部字段将会被无视。 3.fetch 不会发送 cookies。除非你使用了credentials 的初始化选项。...2.headers: 请求的头信息，形式为 Headers 的对象或包含 ByteString 值的对象字面量。...在Chrome中，Chrome 47之前的默认值是 follow，从 Chrome 47开始是 manual。

1.7K2 0

六万字 HTTP 必备知识学习，程序员不懂网络怎么行，一篇HTTP入门不收藏都可惜

在这些基本概念之上，多年来开发了许多扩展，这些扩展使用新的 HTTP 方法或标头添加了更新的功能和语义。 HTTP 协议五个特点：支持客户/服务器模式。...HTTP 消息可以被人类阅读和理解，为开发人员提供了更容易的测试，并降低了新手的复杂性。 HTTP 是可扩展的 HTTP/1.0 中引入的HTTP 标头使该协议易于扩展和试验。...使用标头可扩展性，HTTP Cookie 被添加到工作流中，允许在每个 HTTP 请求上创建会话以共享相同的上下文或相同的状态。...HTTP 是一种易于使用的可扩展协议。客户端-服务器结构与添加标头的能力相结合，允许 HTTP 与 Web 的扩展功能一起发展。...在应用程序服务器上，Web 应用程序必须检查完整的 cookie 名称，包括前缀 —— 用户代理程序在从请求的 Cookie 标头中发送前缀之前，不会从 cookie 中剥离前缀。

7523 0

ASP.NET Core ResponseCache进行缓存操作

如果存在此标头，则由 Cache-Control 标头中的相关指令重写。考虑向后兼容 HTTP/1.0。 Set-Cookie 如果标头存在，则不会缓存响应。...请求处理管道中设置一个或多个 cookie 的任何中间件会阻止响应缓存中间件缓存响应（例如，基于 cookie 的 TempData 提供程序）。...Content-Length 从缓存提供时，如果未在原始响应中提供，则中间件会设置 Content-Length 标头。 Age 忽略原始响应中发送的 Age 标头。...Set-Cookie 标头不得存在。 Vary 标头参数必须有效且不等于 *。 Content-Length 标头值（如果已设置）必须与响应正文的大小匹配。...响应的正文大小必须小于配置的或默认的 MaximumBodySize。 “请求” 或 “响应” 标头字段中不得存在 “no-store” 指令。

2.9K2 0

18 个运维必知的 Nginx 代理缓存配置技巧，你都掌握了哪些呢？

HIT - 响应直接来自有效的缓存 Nginx 如何确定是否要缓存响应默认情况下，Nginx 尊重 Cache-Control 源服务器的标头。...它不缓存响应 Cache-Control 设置为 Private，No-Cache 或 No-Store 或 Set-Cookie 在响应头。Nginx 只缓存 GET 和 HEAD 客户端请求。...该指令强制缓存数据到期，如果忽略标头则需要。Nginx 不会缓存没有过期的文件。 Nginx 是否可以忽略 Set-Cookie 使用 proxy_ignore_headers 指令即可。...这些扩展做了什么：如果当前正在更新 stale-while-revalidate，Cache-Control HTTP 标头的扩展允许使用陈旧的缓存响应。...HTTP 标头的 stale-if-error 扩展 Cache-Control 允许在发生错误时使用陈旧的缓存响应。

2.1K2 0

【Nginx30】Nginx学习：代理模块（四）响应头与SSL

Nginx学习：代理模块（四）响应头与SSL 响应头相关的配置也和我们之前在 FastCGI 系列学过的响应头配置是类似的，这一块也比较简单。...Proxy响应头操作响应头主要针对的是响应的操作，其实也就是对于后端服务返回的响应头，我们可以进行一些显示、隐藏、忽略之类的操作。...proxy_hide_header 默认情况下，Nginx 不会将代理服务器的响应中的标头字段“Date”、“Server”、“X-Pad”和“X-Accel-...”传递给客户端。...proxy_pass_header field; 禁用标头就是 proxy_hide_header 中说的那些默认头字段，主要是 “Date”, “Server”, “X-Pad”, 和 “X-Accel...如果未禁用，则处理这些标头字段具有以下效果： “X-Accel-Expires”、“Expires”、“Cache-Control”、“Set-Cookie”、“Vary”设置响应缓存的参数 “X-Accel-Redirect

5871 0

密码学系列之:csrf跨站点请求伪造

：*标头明确禁用它们的网站上，这些措施将无效。...在初次访问web服务的时候，会在cookie中设置一个随机令牌，该cookie无法在跨域请求中访问： Set-Cookie: csrf_token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql...，从cookie中读取这个token值，并将其复制到随每个事务请求发送的自定义HTTP标头中 X-Csrftoken：i8XNjC4b8KVok4uw5RftR38Wgp2BFwql 服务器验证令牌的存在和完整性...即使将csrf token cookie与恶意请求一起自动发送，服务器任然需要有效的X-Csrf-Token头。...有些浏览器扩展程序如CsFire扩展（也适用于Firefox）可以通过从跨站点请求中删除身份验证信息，从而减少对正常浏览的影响。

2.4K2 0

Hostonly cookie是什么鬼？

① 这是一个不可手动修改的cookie属性，类似 Sec-Fetch-、 Origin标头，都是浏览器自动判断并赋值。...② 判断逻辑：如果domain-attribute非空：如果规范化之后的request-host不匹配domain-attribute 中的域名，那么完全忽略掉cookie并且终止这些步骤；否则，...Chrome浏览器开发者工具显示：疑点1：我的这个cookie在请求子域时被滤除了。...疑点2：在原种植cookie的响应流Set-Cookie header，这个cookie的domain键值对消失了。...实际上经历了【响应流中的Set-Cookie header 忽略cookie domain属性】---> 【hostonly判断逻辑】，事情已经失控了，解决问题的办法也很明确，设置正确合法的domain

7172 0

浏览器输入某URL后，HTTP开启了一段奇妙之旅！

首先干活的是浏览器应用程序，他要解析出 URL中的域名 2....根据域名获取对应的ip地址，首先从浏览器缓存中查看，如下可以查看浏览器中域名对应ip的解析 chrome://net‐internals/#events 如果没有则从本机域名解析文件hosts（/etc...浏览器收到响应之后，开始渲染页面让我们聊一聊HTTP协议超文本传输协议(HyperText Transfer Protocol，HTTP)：一种无状态的，以请求/应答方式运行的协议，它使用可扩展的语义和自描述消息格式...HTTP 头字段非常灵活，不仅可以使用标准里的 Host、Connection 等已有头，也可以任意添加自定义头，这给 HTTP 协议带来了无限的扩展可能。...响应字段：响应头中的头字段，如：Server；通用字段：在请求头和响应头里都可以出现，如 Content-type，Connection ；

5002 0

程序员应对浏览器同源策略的姿势

CORS特定HTTP标头，为浏览器提供了授权脚本跨域访问其他域名页面数据的通道。...CORS规范浏览器发起CORS或POST请求，浏览器会自动携带Origin标头（指示请求来自于哪个站点） Web服务器实现跨域访问授权逻辑, 授权结果在Response中以Access-Control...--******* 标头体现 “最常见的Access-Control-Allow-Origin标头包含 * / Origin /null三种响应值；当请求是携带凭据的跨域请求，不可囫囵吞枣地指定为*通配符...程序员调试CORS的苦恼跨域请求发生在A--->B 两站，作为某一方开发人员，调试CORS相对麻烦。 ?...总结浏览器同源策略限制对象是浏览器脚本；存在跨域请求的场景，某些方案是Hack行为； W3C推出的CORS 是标准的跨域请求方案，思路是在服务端Response标头体现授权, 浏览器遵守该授权标头

1.1K3 0

HTTP响应头中可以使用的各种响应头字段

,只能被嵌入到指定域名的框架中（Chrome现阶段不支持）； X-Frame-Options 'SAMEORIGIN' X-Content-Type-Options 如果从script或stylesheet...互联网上的资源有各种类型，通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。...通过下面这个响应头可以禁用浏览器的类型猜测行为： X-Content-Type-Options: nosniff X-XSS-Protection 这个响应头是用来防范XSS的，现在主流浏览器都支持，并且默认都开启了...对于指定的网址，X-Robots-Tag 可以用作 HTTP 标头响应中的一个元素。...Access-Control-Allow-Origin等CORS相关字段当使用XMLHttpRequest从其他域名中获取资源进行跨域通信时使用。

1.9K3 0

反向代理的攻击面（下）

一般来说，反向代理服务器会使用缓存标志，该标志与请求的主机头值和路径相关联。反向代理对某个响应缓存与否，它会先检查请求中的Cache-Control和Set-Cookie标头。...反向代理不会对存在Set-Cookie标头的请求做任何缓存，但是对于Cache-Control有些不同。它会将其视为缓存策略，请求额外的解析。...例如，只缓存响应中某些扩展名（.jpg, .css, .js）或者某个路径（/images/）。如果是这种情况，攻击者可以创建符合反向代理规则又被后端误判的路径。...Nginx发现请求中存在/image，于是直接转发该请求值Tomcat，然后缓存响应（Tomcat->Nginx，此时Cache-Control标头无效）。...此类攻击依赖于在请求中找到未加密的值（标头），这将显著地影响（从安全角度）接下来的响应，但是在这里，这个响应必须由反向代理服务器缓存，同时Cache-Control标头应当设置为允许。

1.6K4 0

cookie跨域传输cookie问题：nginx跨域代理之proxy_cookie_domain

设置http头解决跨域问题CORS为我们提供了跨域资源共享的解决方案，通过Access-Control-Allow-Origin Access-Control-Allow-Credentials Access-Control-Allow-Headers...Access-Control-Request-Headers Access-Control-Request-Method OriginAccess-Control-Allow-Credentials 响应头表示是否可以将对请求的响应暴露给页面...后跨域解决方案chrome80版本的声明大致就是说80以后的版本，cookie默认不可跨域，除非服务器在响应头里再设置same-site属性。...proxy_cookie_domain参数的作用是转换response的set-cookie header中的domain选项，由后端设置的域名domain转换成你的域名replacement，来保证cookie...的顺利传递并写入到当前页面中，注意proxy_cookie_domain负责的只是处理response set-cookie头中的domain属性，仅此而已。

4.7K2 0

一文看懂Cookie奥秘

在HTTP请求模型中以标头的形式体现：Response中Set-Cookie标头种植cookie；Request Cookie标头携带(该请求允许携带的)cookies HTTP/1.0 200 OK...**; path=/; samesite=none; httponly [page content] Cookie标头的内容是键值对(键值对才是具业务含义的cookie)；同名cookie覆盖原键值...Set-Cookie标头种植cookie，浏览器javascript也可以种植cookie cookie的种植面积 Domain和Path属性定义了cookie的写入范围：哪些url的请求可以携带该cookie...Http请求中Sec-Fetch-Site标头指示了这个属性： Sec-Fetch-Site 描述 cross-site 请求的发起源与资源源完全不相同 same-origin 请求的发起源与资源源完全相同...在服务端Set-Cookie种植cookie时，SmmeSite属性值可指示浏览器是否可在后续的“同一站点”或“跨站点”请求中携带这些cookie Set-Cookie: X-BAT-TicketId=

1.4K5 1

跟我一起探索HTTP-协议升级机制

如果服务器没有（或者不能）升级这次连接，它会忽略客户端发送的 Upgrade 标头字段，返回一个常规的响应：例如一个 200 OK)....允许在一个请求中使用多个 Sec-WebSocket-Extension 标头；结果跟在一个标头文件中包含了所有列出的扩展一样。...如果客户端愿意，则添加它，服务器将在响应中包含一个自己的密钥，客户端将在向你发送升级响应之前验证该密钥。服务器响应的 Sec-WebSocket-Accept 标头将基于指定的 key 计算的值。...如果服务器确实支持请求的协议版本，则响应中不包含 Sec-WebSocket-Version 标头。...仅响应标头来自服务器的响应可能包含这些。 Sec-WebSocket-Accept 当服务器愿意发起 WebSocket 连接时，其包含在打开握手过程中来自服务器的响应消息中。

1992 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭