ajax,附带身份凭证的请求,withCredentials

附带身份凭证的请求

一般而言，对于跨域 XMLHttpRequest 或 Fetch 请求，浏览器不会发送身份凭证信息。如果要发送凭证信息，需要设置 XMLHttpRequest 的某个特殊标志位。

对于附带身份凭证的请求需要满足两个条件：

1. 服务器不得设置 Access-Control-Allow-Origin 的值为“*”。

Access-Control-Allow-Credentials: true

2. ajax请求设置withCredentials 为 true，具体如下

原生js:

var xhr = new XMLHttpRequest();  
xhr.open('GET', 'http://*******');  
xhr.withCredentials = true;   
xhr.send();

jquery:  

$.post({
   url: ‘1747937498.PHP’,
   data: {
      appId: appId
   },
   dataType: "json",
   timeout:300000,
   xhrFields:{withCredentials: true},
   success: function (result) {
      
   },
   error: function () {

   }
});

 

---

Access-Control-Allow-Origin的作用在于，允许特定白名单用户（浏览器）访问我这个接口。当设置为 * 的时候，表示所有用户都能访问。如果值为 'http://xxx.com'，则表示只接受来自这个域名的请求，其他的一律拒绝。

然而用了Access-Control-Allow-Credentials: true，就不能设置Access-Control-Allow-Origin:'*'了。

所以可以设置，当A用户进来的时候，我们设置A用户为白名单就好，同理B用户也是。也就是说，谁访问就把谁的域设置为白名单就可以了。

---

域名可以通过以下方式获取Access-Control-Allow-Origin

响应首部中可以携带一个 Access-Control-Allow-Origin 字段，其语法如下:

Access-Control-Allow-Origin: <origin> | *

其中，origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求，服务器可以指定该字段的值为通配符，表示允许来自所有域的请求。

 

当开发者使用 XMLHttpRequest 对象发起跨域请求时，它们已经被设置就绪。Origin 首部字段表明预检请求或实际请求的源站。origin 参数的值为源站 URI。它不包含任何路径信息，只是服务器名称。

不管是否为跨域请求，ORIGIN 字段总是被发送。