碼上快樂

相關內容    簡體    繁體

跨域請求傳遞Cookie問題

本文轉載自   查看原文   2017-11-21 20:31   31589    Web

問題描述

前后端完全分離的項目,前端使用Vue + axios,后端使用SpringMVC,容器為Tomcat。
使用CORS協議解決跨域訪問數據限制的問題,但是發現客戶端的Ajax請求不會自動帶上服務器返回的Cookie:JSESSIONID。
導致每一個Ajax請求在服務端看來都是一個新的請求,都會在服務端創建新的Session(在響應消息頭中設置Set-Cookie:JSESSIONID=xxx)。
而在項目中使用了Shiro框架,用戶認證信息是放在Session中的,由於客戶端不會把JSESSIONID返回給服務器端,因此使用Session策略存放數據的方式不可用。

原因分析

實際上,這是瀏覽器的同源策略導致的問題:不允許JS訪問跨域的Cookie。
舉個例子,現有網站A使用域名a.example.com,網站B使用域名b.example.com,如果希望在2個網站之間共享Cookie(瀏覽器可以將Cookie發送給服務器),那么在設置的Cookie的時候,必須設置domain為example.com。

解決方案

需要從2個方面解決:
1.服務器端使用CROS協議解決跨域訪問數據問題時,需要設置響應消息頭Access-Control-Allow-Credentials值為“true”。
同時,還需要設置響應消息頭Access-Control-Allow-Origin值為指定單一域名(注:不能為通配符“*”)。

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest)request;
    HttpServletResponse resp = (HttpServletResponse)response;
    
    String origin = req.getHeader("Origin");
    if(origin == null) {
        origin = req.getHeader("Referer");
    }
    resp.setHeader("Access-Control-Allow-Origin", origin);            // 允許指定域訪問跨域資源
    resp.setHeader("Access-Control-Allow-Credentials", "true");       // 允許客戶端攜帶跨域cookie,此時origin值不能為“*”,只能為指定單一域名
    
    if(RequestMethod.OPTIONS.toString().equals(req.getMethod())) {
        String allowMethod = req.getHeader("Access-Control-Request-Method");
        String allowHeaders = req.getHeader("Access-Control-Request-Headers");
        resp.setHeader("Access-Control-Max-Age", "86400");            // 瀏覽器緩存預檢請求結果時間,單位:秒
        resp.setHeader("Access-Control-Allow-Methods", allowMethod);  // 允許瀏覽器在預檢請求成功之后發送的實際請求方法名
        resp.setHeader("Access-Control-Allow-Headers", allowHeaders); // 允許瀏覽器發送的請求消息頭
        return;
    }

    chain.doFilter(request, response);
}

2.客戶端需要設置Ajax請求屬性withCredentials=true,讓Ajax請求都帶上Cookie。

  • 對於XMLHttpRequest的Ajax請求
var xhr = new XMLHttpRequest();
xhr.open('GET', url);
xhr.withCredentials = true; // 攜帶跨域cookie
xhr.send();
  • 對於JQuery的Ajax請求
$.ajax({
    type: "GET",
    url: url,
    xhrFields: {
        withCredentials: true // 攜帶跨域cookie
    },
    processData: false,
    success: function(data) {
        console.log(data);	
    }
});
  • 對於axios的Ajax請求
axios.defaults.withCredentials=true; // 讓ajax攜帶cookie

【參考】
http://harttle.com/2016/12/28/cors-with-cookie.html CORS 跨域發送 Cookie
https://segmentfault.com/q/1010000009193446 vuejs (前端項目) + spring mvc(后台項目),每次ajax請求都是新的session Id
https://www.w3.org/TR/cors/ Cross-Origin Resource Sharing


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 【解決方案】前后端分離之后,請求跨域無法傳遞cookie的問題 跨域請求cookie獲取與設置問題 關於 Angular 跨域請求攜帶 Cookie 的問題 samesite設置讓跨域jsonp中cookie無法傳遞問題 Cookie跨域問題 cookie 跨域的問題 跨域請求攜帶cookie [轉] js網絡請求跨域問題匯總(攜帶cookie) 解決跨域請求無法攜帶Cookie的問題 Electron-vue請求攜帶cookie跨域問題
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM