允许跨域资源共享（CORS）携带 Cookie

CORS 是一个 W3C 标准，全称是“跨域资源共享”（Cross-origin resource sharing）。

默认浏览器为了安全，遵循“同源策略”，不允许 Ajax 跨域访问资源，而为了允许这种操作，服务器端和客户端都要遵循一些约定。

服务器端需设置以下响应头：

Access-Control-Allow-Origin:  | * // 授权的访问源
Access-Control-Max-Age:  // 预检授权的有效期，单位：秒
Access-Control-Allow-Credentials: true | false // 是否允许携带 Cookie
Access-Control-Allow-Methods: [, ]* // 允许的请求动词
Access-Control-Allow-Headers: [, ]* // 额外允许携带的请求头
Access-Control-Expose-Headers: [, ]* // 额外允许访问的响应头

我们看到，Access-Control-Allow-Credentials 响应头会使浏览器允许在 Ajax 访问时携带 Cookie，但我们仍然需要对 XMLHttpRequest 设置其 withCredentials 参数，才能实现携带 Cookie 的目标。

示例代码如下：

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

注意，为了安全，标准里不允许 Access-Control-Allow-Origin: *，必须指定明确的、与请求网页一致的域名。同时，Cookie 依然遵循“同源策略”，只有用目标服务器域名设置的 Cookie 才会上传，而且使用 document.cookie 也无法读取目标服务器域名下的 Cookie。

下面简单普及一下 CORS 的有关知识。

浏览器对待 CORS 有两种规则，一种只有一次请求，一种要多发送一次“预检查”请求。

简单 CORS

同时满足以下条件：

动词限制，只允许是：

• HEAD
• GET
• POST

请求头限制，只允许出现：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type 且只允许是：
  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

简单请求浏览器会直接发送该请求，并附加 Origin 头，比如：

Origin: localhost:8080

服务器会返回：

Access-Control-Allow-Origin: http://localhost:8080
Access-Control-Max-Age: 600
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: X-Custom-Header

浏览器在收到服务器返回时，先检查是否允许访问，不允许则直接报错（可用 XMLHttpRequest.onerror 捕获）。

带预检查的 CORS

不满足简单 CORS 要求的请求，在正式请求前，浏览器会发送一次 OPTIONS 动词的请求。

例如欲请求 PUT /xxx，想额外发送 X-Custom-Header 头，则会先发送：

OPTIONS /xxx HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: localhost:8080

服务器返回：

HTTP/1.1 200 OK
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Origin: http://localhost:8080
Access-Control-Max-Age:600
Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
Vary: Origin

浏览器检查完，一切顺利，才发送真正的请求。