那些遇到过的问题

CORS,withCredentials 和第三方 cookie

Cha*_*Tan 6 cookies cross-domain same-origin-policy cors

我正在尝试做一个 CORS GET 来发送 cookie。我已经在服务器中设置了所有标头 ( access-control-allow-origin, access-control-allow-credentials, access-control-allow-headers)withCredentials: truecrossDomain: true在 jquery ajax 请求中使用和。当我告诉浏览器允许第三方 cookie 时,一切正常。有没有办法在不强制访问者允许第三方 cookie 的情况下做到这一点?我什至尝试重定向用户并重定向回来,但 CORS 将拒绝发送 cookie。:/

我尝试通过 ajax 以及 iframe 执行 CORS 请求。

小智 5

我不认为这是可能的。请参阅我的(旧但相关的)博客文章。唯一的防弹方法是使用第一方 cookie(即在顶级窗口中打开窗口,如单独的选项卡,或重定向当前窗口)。

但在某些情况下,这不是必需的。浏览器对第三方 cookie 的概念略有不同,默认行为也不同。这篇文章很好地概述了这些细节。因此,在某些情况下,您可以使用技巧来启用(或至少检测)页面上 cookie 的使用。

其他解决方法包括将一台服务器置于另一台服务器的子域下(子域通常不被视为第 3 方),或更改流程以便通过 cookie 以外的其他方式对用户进行身份验证。

归档时间:

查看次数:

7010 次

最近记录:

9 年,3 月 前
相关归档
CORS:凭证模式是'包含' 71
如何在ASP.NET Core MVC中启用跨源请求(CORS) 33
仅客户端cookie - 不会发送到服务器的cookie 25
AngularJS $ http从失败的CORS请求返回状态码0 10
如何从Shiny App中访问浏览器会话/ cookie 9
没有'Access-Control-Allow-Origin'标头-Laravel 5.4 7
Codeigniter会话安全性 6
不推荐使用connect.utils.parseSignedCookies,使用Express和Redis进行cookie存储 4
有没有办法获取 GKE 负载均衡器的域而不是 IP? 4
Azure应用服务-访问PWA webmanifest.json时出现CORS OAUTH2错误 3
难疑归档
什么是正确的JSON内容类型? 9962
是否可以将CSS应用于角色的一半? 2717
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
迭代对象属性 1904
如何停止跟踪并忽略Git中文件的更改? 1634
如何为项目中的单个文件禁用ARC? 1332
Apache Camel究竟是什么? 1310
如何使用sed替换换行符(\n)? 1295
如何使用自定义对象对NSMutableArray进行排序? 1253
在Python中从文件名中提取扩展名 1167