我在https://aaa.shared.com
网站上。此网站(称为A
(向urlhttps://zzz.shared.com/some/path
(网站Z
(发送xhr
请求,并接收具有以下标头的响应:
access-control-allow-credentials: true
access-control-allow-origin: aaa.shared.com
set-cookie: foo=bar; expires=Fri, 01 Jan 2100 00:00:00 GMT; path=/; secure; samesite=none; httponly
(我按照这个问题的答案添加了access-control
标头(
现在,我所期望的是,无论何时我在A或Z上,无论何时请求到Z(跨原点或同源,重要的是请求的URL(,浏览器都会添加cookie,但它没有!此外,我看不到它是在浏览器开发工具(F12->Application->Cookies(中设置的。我使用的是Chrome,但目标是跨浏览器解决方案。
我错过了什么?我发现很难找到关于Set-Cookie
标头在请求不同来源时如何工作的详细信息。
编辑:rowan_z
最初建议将samesite=lax
替换为samesite=none
,因为这个问题的第一个版本中的A和Z是完全独立的域(仅共享.com
部分(。我试过了,但没用。但现在我意识到它们实际上被视为SameSite
,因为它们位于shared.com
结构域的不同子域上。所以现在我认为samesite=lax
也应该在这里工作。
更新:最后,我只是用一些路径zzz.shared.com/aaa/path
将应用程序aaa.shared.com
移到了同一子域下,因为处理cookie和CORS真的很困难。此外,将其配置为与localhost
一起工作会增加额外的复杂性。
您所做的所有事情确实都是所必需的才能使其发挥作用:
access-control-allow-credentials: true
access-control-allow-origin: aaa.shared.com
(不是通配符(Secure
SameSite=None
发送请求时只缺少一件事:凭据:'include'。
我已经创建了一个模拟端点,您可以使用它来测试这行代码两次(在另一个域的控制台中(:
fetch('https://stackoverflow.free.beeceptor.com', { credentials: 'include' });
你会注意到饼干将在第二次发送。
如果mock端点过期(不知道它能持续多久(,或者有人破坏了它,你可以在http://beeceptor.com在标头配置中使用此JSON:
{
"Content-Type": "application/json",
"Set-Cookie": "test=value; Path=/; Secure; SameSite=None;",
"access-control-allow-origin": "https://yourdomain",
"Access-Control-Allow-Credentials": "true"
}
您已经明确声明了SameSite=Lax
,它限制在跨站点请求中发送cookie。这看起来像是您希望SameSite=None
允许这些cookie的情况。
更多详细信息:https://web.dev/samesite-cookies-explained