通过HTTPS的HTTP Cookie和Ajax请求

时间:2012-04-19 14:31:11

标签: ajax http cookies https

我知道以前曾以各种形式提出这个问题,但我似乎无法解决这个问题。 我已经尝试使用jQuery和本机JS API来发出Ajax请求。

我的情况如下(见附图):

  1. 浏览器发出HTTP请求
  2. 服务器响应并设置持久性Cookie
  3. 浏览器发出HTTP Ajax请求,Cookie正常
  4. 服务器按预期响应,更新Cookie
  5. 浏览器发出HTTPS Ajax请求,Cookie不再存在(?!)
  6. 服务器提供“默认”响应,因为没有Cookie(意外行为)

    7. 在任何人开始讨论跨域请求之前,请先说明一些事情:

    • 我知道这是一个跨域请求(不同的协议),这就是服务器在响应中设置Access-Control-Allow-Origin标头的原因(我使用的是Chrome和Firefox,两者都支持{{3 }})
    • 我也知道,HTTP cookie应该可以通过HTTPS进行管理(参见CORS),因为主机是相同的
    • (编辑)为一般域(例如.domain.ext)正确设置了cookie,并且既没有设置HttpOnly也没有设置安全标志

    那么,为什么,为什么,为什么浏览器在进行HTTPS Ajax调用时不会传递cookie?有任何想法吗?我快要忘记了...... 

         +-----------+ HTTP Request     +-----------+
     |Browser    |+---------------->|Server     |
     +-----------+                  +-----------+

                   HTTP Response
                  <----------------+
                   Set-cookie

                   Ajax HTTP Req.
                  +---------------->
                   Cookie (OK)

                   HTTP Response
                  <----------------+
                   Set-cookie (OK)

                   Ajax HTTPS Req.
                  +---------------->
                   No Cookie (!!!)

2 个答案:

答案 0 :(得分:70)

好的,找到了cookie问题的解决方案。

请参阅XHR specsjQuery docsStackOverflow

切换协议和/或子域时发送cookie的解决方案是将withCredentials属性设置为true

E.g。 (使用jQuery)

 $.ajax( {
   /* Setup the call */
   xhrFields: {
     withCredentials: true
   }
 });

答案 1 :(得分:-1)

Document.cookie和Ajax Request不共享cookie。否则,ajax无法从document.cookie或响应标头访问cookie。它们只能由远程域控制。

如果您首先通过ajax从服务器获得包含cookie的响应,那么您可以通过cookie向服务器请求ajax通信。

对于这种情况,你写下面的代码(jQuery)

 $.jajx({
        xhrFields : {
          withCredentials : true
        }
   });

请参阅this articledemo

相关问题
最新问题