[Cookie]解决Cookie跨域访问

前言

随着工程的不断扩大，要部署很多不同的服务，这其中就避免不了Cookie的跨域问题，如何实现Cookie在不同域之前实现传输，本文将详细描述。

---

Cookie介绍

1、path
Cookie路径是由path设置，例如我们设置path为 / ，代表当前webapps下的所有工程均可访问此Cookie，若path为 /test ，代表 /test 下的请求才能访问此Cookie。
2、域
Cookie的域我们如果不设置的话，默认是当前工程，例如：http://www.test.com/index.html ，那么它的域为www.test.com，通过domain我们可以设置Cookie的域

---

解决顶级域名与二级域名之间的跨域问题

#通过设置domain
#顶级域名服务器与二级域名服务器之间哪个设置都能生效
#设置完毕后写回到客户端，用另一个服务器即可访问此Cookie
cookie.setDomain("test.com"); 

---

解决顶级域名于顶级域名之间的跨域问题

我们可以通过Nginx反向代理，将两个服务器域名统一到一个反向代理服务器。

    upstream www.test.com { 
        server 127.0.0.1:8080 weight=1; 
        server 127.0.0.1:8060 weight=1; 
    }

    server {
        listen       80;
        server_name  www.test.com;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {
        proxy_pass   http://www.test.com;
        index  index.html index.htm;
        }
    }

---

使用Ajax方式实现跨域访问Cookie

$.ajax({
      type: 'GET',
      url: "http://www.cookie.test.com:8080/web2/ajaxServlet",
      data: {"username":"haha"},
      dataType: "json",
      //设置crossDomain与withCredentials的作用 : 
      //允许携带cookie，不开启是不能带cookie到后台的，
      //同时后台也不能往前台写cookie
      crossDomain: true,
      xhrFields: {
        withCredentials: true
      },
      success: function (data){
        console.info(data);
      }
});

最重要的是设置 withCredentials: true。
参数 crossDomain: true 是指发送Ajax时，Request header 中会包含跨域的额外信息，但不会含cookie，建议设置此参数。

因为跨域访问主要是由后端控制，服务器端也要设置两个重要参数
Access-Control-Allow-Origin : 控制允许携带Cookie访问的域
Access-Control-Allow-Credentials ： 允许客户端携带证书式访问

#允许来自所有域的跨域请求访问
response.setHeader("Access-Control-Allow-Origin", "*");

#只接收来自http://www.test.com:8060的Cookie
response.setHeader("Access-Control-Allow-Origin","http://www.test.com:8060");

一般使用以下方式

if ( request.getHeader("Origin") != null ) {
    if(request.getHeader("Origin").contains("test.com")) {
        response.setHeader("Access-Control-Allow-Origin", 
                request.getHeader("Origin"));
    }
}

同时还要设置另一个重要参数

//如果ajax里 withCredentials为true，就必须开启这个选项，
//允许携带证书式访问(允许操作cookie)，默认是false
response.setHeader("Access-Control-Allow-Credentials", "true");

服务器端 Access-Control-Allow-Credentials = true时，参数Access-Control-Allow-Origin 的值不能为 *

---

引入跨域Filter

由于我们频繁设置 Access-Control-Allow-Origin 很不方便，我们可以引入Filter，它是在tomcat的lib包下的 catalina.jar 中。

<filter>
      <filter-name>CorsFilterfilter-name>
      <filter-class>org.apache.catalina.filters.CorsFilterfilter-class>
  filter>
  <filter-mapping>
      <filter-name>CorsFilterfilter-name>
      <url-pattern>/*url-pattern>
  filter-mapping>

这样我们就可以省略以下代码了

if ( request.getHeader("Origin") != null ) {
    if(request.getHeader("Origin").contains("test.com")) {
        response.setHeader("Access-Control-Allow-Origin", 
                request.getHeader("Origin"));
    }
}

参考文章:

跨域Ajax请求时是否带Cookie的设置

解决cookie跨域访问