Code
2025-01-04 07:00:02

为跨源请求设置cookie

如何跨起源共享cookie ?更具体地说,如何使用Set-Cookie头结合头Access-Control-Allow-Origin?

以下是对我的情况的解释:

我试图在localhost:3000上托管的web应用程序中为运行在localhost:4000上的API设置一个cookie。

似乎我在浏览器中收到了正确的响应头,但不幸的是,它们没有效果。这些是响应头:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://localhost:3000
Vary: Origin, Accept-Encoding
Set-Cookie: token=0d522ba17e130d6d19eb9c25b7ac58387b798639f81ffe75bd449afbc3cc715d6b038e426adeac3316f0511dc7fae3f7; Max-Age=86400; Domain=localhost:4000; Path=/; Expires=Tue, 19 Sep 2017 21:11:36 GMT; HttpOnly
Content-Type: application/json; charset=utf-8
Content-Length: 180
ETag: W/"b4-VNrmF4xNeHGeLrGehNZTQNwAaUQ"
Date: Mon, 18 Sep 2017 21:11:36 GMT
Connection: keep-alive

此外,当我使用Chrome开发工具的网络选项卡检查流量时,我可以在响应cookie下看到cookie。然而,我不能看到一个cookie被设置在应用程序选项卡下的存储/ cookie。我没有看到任何CORS错误,所以我假设我还遗漏了其他东西。

有什么建议吗?

我更新:

我正在使用React-Redux应用程序中的请求模块向服务器上的/signin端点发出请求。对于服务器,我使用express。

Express服务器:

res.cookie('token', 'xxx-xxx-xxx', { maxAge: 86400000, httpOnly: true, domain: 'localhost:3000' })

在浏览器中请求:

request.post({ uri: '/signin', json: { userName: 'userOne', password: '123456'}}, (err, response, body) => {
    // doing stuff
})

更新二:

我现在像疯狂一样设置请求和响应头,确保它们在请求和响应中都存在。下面是截图。注意标题Access-Control-Allow-Credentials, Access-Control-Allow-Headers, Access-Control-Allow-Methods和Access-Control-Allow-Origin。看看我在Axios的github上发现的问题,我的印象是所有必需的标题现在都设置好了。然而,还是没有运气……

当前回答

这个代码对我有用

在后端

在corsOptions中设置凭据为true:

const corsOptions = {
 credentials: true,
  };

发送请求前设置cookie:

res.cookie('token', 'xxx-xxx-xxx', { 
maxAge: 24*60*60*1000, httpOnly: true, 
SameSite:"None" })

在前端

浏览器请求(使用axios):

axios.post('uri/signin', 
JSON.stringify({ username: 'userOne', 
password: '123456'}),. 
{withCredentials:true})
.the(result 
=>console.log(result?.data))
.catch(err => console.log(err))
2022-10-09 22:18:08

其他回答

对于express,请将express库升级到4.17.1,这是最新的稳定版本。然后;

在CorsOption中:将origin设置为本地主机url或前端生产url,并将凭据设置为true 如

  const corsOptions = {
    origin: config.get("origin"),
    credentials: true,
  };

我使用config npm module动态地设置了我的原点。

然后,在res.cookie中:

对于localhost:你根本不需要设置sameSite和secure选项,你可以将http cookie的httpOnly设置为true,以防止XSS攻击和其他有用的选项,这取决于你的用例。

对于生产环境,您需要将sameSite设置为none用于跨源请求,并将secure设置为true。记住,sameSite只适用于express最新版本,目前最新的chrome版本只设置了https上的cookie,因此需要安全选项。

以下是我如何让我的作品充满活力

 res
    .cookie("access_token", token, {
      httpOnly: true,
      sameSite: app.get("env") === "development" ? true : "none",
      secure: app.get("env") === "development" ? false : true,
    })
2020-09-20 11:53:44

希望这能有所帮助 对于我关于sameSite属性,启用CORS后,我还添加了“CookieSameSite = SameSiteMode。没有一个“ 到启动文件中的CookieAuthenticationOptions

app.UseCookieAuthentication(新CookieAuthenticationOptions { … CookieSameSite = SameSiteMode。没有, … }

2021-12-16 09:37:03

皮姆的回答很有帮助, 但这是我经历过的一个边缘情况,

在我的情况下,即使我已经在BE中设置了访问控制-允许起源到特定的起源,在FE中,我收到它为*;这是不允许的

问题是,其他人负责网络服务器的设置, 其中,有一个配置来设置Access-Control-*头,这是覆盖我的头集从BE应用程序

唷. .花了一段时间才想明白。

因此,如果您设置的内容与您收到的内容不匹配,请检查您的web服务器配置。

2021-09-07 05:34:51

这个代码对我有用

在后端

在corsOptions中设置凭据为true:

const corsOptions = {
 credentials: true,
  };

发送请求前设置cookie:

res.cookie('token', 'xxx-xxx-xxx', { 
maxAge: 24*60*60*1000, httpOnly: true, 
SameSite:"None" })

在前端

浏览器请求(使用axios):

axios.post('uri/signin', 
JSON.stringify({ username: 'userOne', 
password: '123456'}),. 
{withCredentials:true})
.the(result 
=>console.log(result?.data))
.catch(err => console.log(err))
2022-10-09 22:18:08

在最新的chrome标准中,如果CORS请求带cookie,它必须打开samesite = none和secure,后端域名必须打开HTTPS,

2021-08-27 10:13:19

推荐文章

aliyun

最新文章

标签

2025 code 京ICP备15047053号-1