axios（ajax），springboot 跨域携带session

前端发送跨域请求时默认是不会携带cookie的，后端无法获得sessionId。要解决这一问题，前后端配置分别如下

前端配置

前端通过设置withCredentials: true来解决。如果是在vue中使用axios，需要设置

axios.defaults.withCredentials = true

如果使用的是jQuery的ajax方法

$.ajax({
    url : 'xxxx',
    type : 'GET',
    xhrFields : {
        withCredentials : true
    },
    crossDomain : true,
    
    ...

})

后端配置

后端需要设置Access-Control-Allow-Credentials，但是需要注意的是，如果将Access-Control-Allow-Credentials设置为true，那么Access-Control-Allow-Origin就必须是具体的值，不能用 *，开发过程中可以通过获取当前请求的域名动态设置Access-Control-Allow-Origin的值来代替 * 的效果。

String originHeader = req.getHeader("Origin");
res.setHeader("Access-Control-Allow-Origin", originHeader);
res.setHeader("Access-Control-Allow-Credentials", "true");
res.setHeader("Access-Control-Allow-Methods", "*");
res.setHeader("Access-Control-Max-Age", "86400");
res.setHeader("Access-Control-Allow-Headers","Timestamp,Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token,Access-Control-Allow-Headers");
 

可能遇到的坑

我将前后端都配置完成后，后端依然没有获取到前端的 sessionId, 苦苦寻找解决方案，发现是 SameSite 导致的，新版本的spring web 默认启用了 SameSite 。解决方案：

@Configuration
public class SpringSessionConfig {

  public SpringSessionConfig() {
  }

  @Bean
  public CookieSerializer httpSessionIdResolver() {
    DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
    cookieSerializer.setSameSite(null);
    return cookieSerializer;
  }
}