那些遇到过的问题

带会话/ cookie的CORS请求

caf*_*nso 5 php cookies session cors

我的应用程序有一个PHP服务器和一个客户端(一个JS单页面应用程序).它们是单独的项目,并部署在不同的域中.客户端使用服务器公开的RESTful API.

此应用程序将与处理身份验证的第三方集成,因此用户无法直接登录.我们的服务器只接收一个SSO令牌(经过适当签名,以便我们验证其完整性).

我们还在传输层为所有请求强制执行安全性.

我想做的是,一旦验证了SSO令牌,就启动我自己的会话,然后将用户重定向到客户端.我认为一旦创建了会话,浏览器就会在异步API调用中自动发送正确的Cookie标头,但似乎并非如此.

这是故意因安全原因而被禁用吗?

Que*_*tin 6

您必须设置withCredentialstrue了跨域XHR请求包括饼干.

CORS响应也必须说Access-Control-Allow-Credentials: true(这就是widthCredentials默认的原因false).

  • 非常感谢。这可行。我接受这个答案,而不是@CBroe,因为这个还提到了`Access-Control-Allow-Credentials`标头。附带说明一下,`Access-Control-Allow-Origin`不能是通配符(*)。 (2认同)

归档时间:

查看次数:

3873 次

最近记录:

10 年,1 月 前
相关归档
PHP UML生成器 108
检索tmpfile()的路径 57
For循环问题中的PHP字符迭代 36
PHP Phar在功能强大的PC上创建速度慢,如何加速(加载/读取~3000个文件)? 23
PHP - 会话无法在移动设备上运行 13
使用带有Python请求的cookies.txt文件 12
如何从管理端登出php中所有活动登录用户 6
特定于域的 cookie 是否容易受到 CSRF 的影响? 3
从 JS 到 Cloudflare Workers 不存在“Access-Control-Allow-Origin”标头错误 2
Cookies如何与域,路径和覆盖一起使用? 0
难疑归档
在Windows命令行上是否有相应的"哪个"? 2231
如何在Bash中解析命令行参数? 1764
使用Git从先前的提交中分支 1658
在Git中撤消一个文件的工作副本修改? 1550
如何在回调中访问正确的`this`? 1309
丢弃Git中的本地提交 1304
从已从磁盘中删除的Git存储库中删除多个文件 1294
你如何在YAML中阻止评论? 1272
如何使用CSS设置<select>下拉列表的样式? 1258
处理"java.lang.OutOfMemoryError:PermGen space"错误 1215