关于源地图,我在chrome(build 181620)中遇到了一个奇怪的行为。 在我的应用程序中,我使用缩小的jquery,登录后,我开始在服务器日志文件中看到“jquery.min.map”的HTTP请求。这些请求缺少cookie头(所有其他请求都没问题)。 这些请求甚至没有在开发人员工具的网络标签中公开(这不会让我感到烦恼)。
关键是,此应用程序中的js文件只能用于登录客户端,因此在此设置中,源映射要么不起作用,要么我必须将源映射的位置更改为公共目录。
我的问题是:这是一个理想的行为(意思是 - 源地图请求不应该发送cookie)还是Chromium中的错误?
答案 0 :(得分:4)
InspectorFrontendHost.cpp中的String InspectorFrontendHost::loadResourceSynchronously(const String& url)实现(用于加载源地图资源)使用DoNotAllowStoredCredentials标记,我认为这会导致您观察到的行为。
此方法存在潜在危险,因此我们(您)可以安全地使用此标记,以避免泄露敏感数据。
作为旁注,仅向登录用户(即不是来自无Cookie域)提供jquery.min.js在生产环境中部署并不是一个好主意。我不确定你背后的想法,但如果你肯定需要避免将文件提供给不访问你网站的客户,你可以选择检查Referer HTTP请求标题。
答案 1 :(得分:0)
我遇到了这个问题,并对为什么没有在对我们的应用程序的.js.map文件请求中发送某些身份验证cookie感到好奇。
在我使用Chrome 71.0.3578.98进行的测试中,如果将Cookie的SameSite cookie atttribute设置为The Elder Scrolls V: Skyrim Special Edition
The Elder Scrolls V: Skyrim VR
Skyrim Script Extender (SKSE)
The Elder Scrolls V: Skyrim Special Edition - Creation Club
或strict,Chrome在请求.js时将不会发送该cookie。地图文件。没有lax限制时,将发送cookie。
我不知道预期行为的任何规定。