pro*_*srr 5 node.js express postman vue.js axios
我的服务器有响应。响应头包含有效的 Set-Cookie。Chrome 响应/Cookies 说我有 1 个 cookie,好的。但是... cookie 没有设置到 DevTools/Application/Cookies
/*
My frontend on Vue
I renamed 127.0.0.1 to www.example.com
So running on www.example.com:80 or just www.example.com
*/
let response = await axios({
method: 'post',
url: 'http://127.0.0.1:3000/api/login', // my Node server on 3000 port
data: {
email : login,
password: password,
},
})
/*
My backend part on Node.js+Express
Running on localhost:3000 or 127.0.0.1:3000
CookieParser() is setted
*/
let options = {
maxAge: 345600000,
httpOnly: true,
path: '/',
}
res
.cookie('test', 'test', options)
.cookie('access_token', token, options) //token contains a JWT string
.send('');
/*
Chrome Response Headers
*/
Access-Control-Allow-Origin: *
Connection: keep-alive
Content-Length: 0
Content-Type: text/html; charset=utf-8
Date: Sun, 09 Feb 2020 08:52:22 GMT
ETag: W/"0-2jmj7l5rSw0yVb/vlWAYkK/YBwk"
Set-Cookie: test=test; Max-Age=345600; Path=/; Expires=Thu, 13 Feb 2020 08:52:22 GMT; HttpOnly
Set-Cookie: access_token=example; Max-Age=345600; Path=/; Expires=Thu, 13 Feb 2020 08:52:22 GMT; HttpOnly
X-Powered-By: Express
/*
Chrome request headers
*/
Accept: application/json, text/plain, '*/*'
Accept-Encoding: gzip, deflate, br
Accept-Language: ru-RU,ru;q=0.9
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 45
Content-Type: application/json;charset=UTF-8
Host: 127.0.0.1:3000
Origin: http://www.example.com
Pragma: no-cache
Referer: http://www.example.com/
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
此外,我尝试使用 Microsoft Edge,但问题并未消失。考虑到浏览器知道接收 Cookie,为什么浏览器不能设置 cookie?
ski*_*tle 11
如果您想做一些背景阅读,那么我建议您查找 CORS(跨源资源共享)指南,特别是在使用 CORS 时如何设置 cookie。
使用您的原始代码,您需要将其更改withCredentials为true:
let response = await axios({
method: 'post',
url: 'http://127.0.0.1:3000/api/login', // my Node server on 3000 port
data: {
email : login,
password: password,
},
withCredentials: true
})
在幕后,这将设置withCredentials标志XMLHttpRequest:
https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/withCredentials
然后,您将在控制台中收到 CORS 错误。如果您按照自己的方式解决这些错误,您应该能够使其正常工作。这些错误将包括...
首先,服务器需要返回 header Access-Control-Allow-Credentials: true。这也适用于预检选项请求。
其次,您当前正在使用Access-Control-Allow-Origin: *但不允许使用凭据的请求。那将需要是Access-Control-Allow-Origin: http://www.example.com。对于预检也是如此。
那时应该在大多数浏览器中设置 cookie(稍后将详细介绍浏览器的怪癖)。
要将 cookie 添加到后续请求中,您还需要withCredentials: true对这些请求进行设置。还需要应用上面概述的其他标题更改。cookie 不会包含在预检请求中,只会包含在主要请求中。
在浏览器的开发人员工具中查看 cookie 并不完全简单。通常,这些工具只显示为与当前页面相同来源设置的 cookie,不包括通过 CORS 请求设置的 cookie。要查看这些 cookie,您需要打开另一个浏览器选项卡并将 URL 设置为以与 CORS 请求相同的来源开头的内容。不过要小心,您需要选择一个不会设置 cookie 本身的 URL,否则这并不能证明什么。
检查设置了哪些 cookie 的另一种方法是发送另一个请求(使用withCredentials)并查看发送了哪些 cookie。
然后我们有特定于浏览器的问题......
在 Safari 中,通过 CORS 设置 cookie 真的很困难。如果 Safari 是您的目标浏览器,那么我建议您对此进行进一步研究。
其次,Chrome 80 是由于对 CORS cookie 的规则进行了重大更改。看:
https://www.chromium.org/updates/same-site
您已经在使用旧版 Chrome 的控制台中看到了有关此问题的警告。简而言之,需要提供 CORS cookiehttps并设置指令Secure和SameSite=None.
更新:
自从写下这个答案以来,我为常见的 CORS 问题创建了一个常见问题解答。可以在https://cors-errors.info/faq#cdc8上找到解释 cookie 使用的部分。
| 归档时间: |
|
| 查看次数: |
11127 次 |
| 最近记录: |