如果我的后端在abc.com上,并在xyz.com上的前端设置了一个cookie,那么我无法使用document.cookie访问前端的cookie,是否有解决此问题的方法?
否。
如果可能的话,Evil-Hacker.com可以从Your-Bank.com读取cookie并访问您的银行账户。
只有当cookie的Domain参数与试图读取cookie的页面的域的一段匹配时,才能直接访问cookie。(例如,foo.example.com可以读取为example.com设置的cookie(。顶级域(如.com(被排除在外。
设置了withCredentials标志的Ajax请求可以向提供cookie的域发出请求(这需要通过飞行前的CORS获得许可(。然后,该域上的服务器端脚本可以读取cookie,并将其回显到JS可以读取cookie的响应体中。显然,这需要cookie所属的域通过提供这样的Web服务进行合作。