跨域ajax请求中的cookie传输问题

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
对CORS协议不了解的同学,可以猛击这里。

今天我们来讨论其中的cookie传输问题。

场景:

http://a.com/test.html向
http://b.com/test.php
发起ajax请求。

test.php种cookie name:ball
test.html第二次发起请求时,希望将cookie(name:ball)带给test.php。

1. 实现

代码如下:

a.com/test.html


    
    
 

说明:

  • withCredentials:true是关键。只有加上此选项,浏览器才会允许跨域携带cookie。

b.com/test.php

header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://a.com");
if (count($_COOKIE)){
    echo json_encode($_COOKIE);
}
else{
    header("Set-Cookie:name=ball;path=/");
}

说明:

- Access-Control-Allow-Credentials: true

与浏览器侧的withCredentials:true成对使用,表明服务端许可发cookie。

- Access-Control-Allow-Origin: http://a.com

表示服务端接收a.com的请求。如果请求时不需要带cookie,此字段可以写*,表明该站接收所有来源的ajax请求。如果需要传输cookie, 该字段只能写一个固定来源。

访问test.html,第二次时如愿在console里看到

{"name":"ball"}

这说明:

  1. b.com成功种下了cookie
  2. a.com成功在跨域ajax请求中带上了cookie

2. 探讨

2.1 test.php是将cookie是种到了a.com下还是b.com下呢?

我们在a.com和b.com下分别添加
cookie.php

var_dump($_COOKIE);

执行后发现,a.com下的cookie.php输出为空。cookie其实是种到了b.com下。

2.2 服务端单方面种cookie是否会成功?

既然2.1中的结论是cookie种到了b.com下,那么在发ajax请求时去掉

xhrFields:{
    withCredentials:true
}

test.php是否能成功在b.com下种cookie呢?
修改代码后执行test.html,test.php在Response Headers中依然种了cookie,如下图所示。


image

然后我们访问

b.com/cookie.php

发现cookie并没能如愿种下。

2.3 a.com能否把自己域下的cookie带给b.com?

我们在a.com下事先种下cookie:name=x
访问test.html, 如下图所示


image

Resquest Headers中只带了b.com下的name=ball。并没有发送a.com下的cookie

2.4 a.com/test.html会因此能读到b.com下的cookie么?

我们访问a.com/test.html, 然后打开控制台。执行document.cookie,结果空空如野。

3. 总结

  1. A站向B站发起跨域ajax时,只能携带B站下的cookie给B。
  2. B站只有在A站允许的情况下,才能在跨域ajax中向自己的域下种cookie。
  3. 即使A,B站达成cookie传输协议,A站页面也不会因此能拿到B站的cookie。

你可能感兴趣的:(跨域ajax请求中的cookie传输问题)