我试图了解如何使用CORS,我对Access-Control-Allow-Credentials头的功能感到困惑。
文档上说
指示是否可以公开对请求的响应 当凭据标志为真时。
但我不明白“暴露”是什么意思。
有人能解释一下这个头被设置为真(连同凭据标志被设置为真)实际上是做什么的吗?
当前回答
缺省情况下,CORS不包括跨源请求的cookie。这与其他交叉起源技术(如JSON-P)不同。JSON-P总是在请求中包含cookie,这种行为可能导致一类称为跨站请求伪造(cross-site request伪造,CSRF)的漏洞。
为了减少CORS中出现CSRF漏洞的几率,CORS要求服务器和客户端都确认在请求中包含cookie是可以的。这样做使cookie成为一个主动的决定,而不是在没有任何控制的情况下被动地发生。
客户端代码必须将XMLHttpRequest上的withCredentials属性设置为true,以便给予权限。
然而,光有这个标头是不够的。服务器必须响应Access-Control-Allow-Credentials报头。将此报头响应为true意味着服务器允许跨源请求包含cookie(或其他用户凭证)。
如果您希望跨源凭据请求能够正常工作,还需要确保您的浏览器没有阻止第三方cookie。
请注意,无论您是发出同源请求还是跨源请求,都需要保护您的站点不受CSRF的影响(特别是如果您的请求包含cookie)。
其他回答
缺省情况下,CORS不包括跨源请求的cookie。这与其他交叉起源技术(如JSON-P)不同。JSON-P总是在请求中包含cookie,这种行为可能导致一类称为跨站请求伪造(cross-site request伪造,CSRF)的漏洞。
为了减少CORS中出现CSRF漏洞的几率,CORS要求服务器和客户端都确认在请求中包含cookie是可以的。这样做使cookie成为一个主动的决定,而不是在没有任何控制的情况下被动地发生。
客户端代码必须将XMLHttpRequest上的withCredentials属性设置为true,以便给予权限。
然而,光有这个标头是不够的。服务器必须响应Access-Control-Allow-Credentials报头。将此报头响应为true意味着服务器允许跨源请求包含cookie(或其他用户凭证)。
如果您希望跨源凭据请求能够正常工作,还需要确保您的浏览器没有阻止第三方cookie。
请注意,无论您是发出同源请求还是跨源请求,都需要保护您的站点不受CSRF的影响(特别是如果您的请求包含cookie)。
推荐文章
- Access-Control-Allow-Origin不允许Origin < Origin >
- 如何获得跨源资源共享(CORS)后请求工作
- 在Firebase的云功能中启用CORS
- Access-Control-Allow-Credentials报头到底做什么?
- 如何评估http响应代码从bash/shell脚本?
- AngularJS为跨源资源执行一个OPTIONS HTTP请求
- 请求报头字段Access-Control-Allow-Headers被Access-Control-Allow-Headers不允许
- application/x-javascript和text/javascript内容类型的区别
- 内容处理:“内联”和“附件”之间的区别是什么?
- 为什么我的http://localhost CORS源不工作?
- S3 - Access-Control-Allow-Origin头
- 如何强制文件在浏览器中打开而不是下载(PDF)?
- X-Requested-With标头的意义是什么?
- 传递带有axios POST请求的头文件
- Axios可以访问响应报头字段
