我观察过一个场景,即我在Chrome浏览器中查看的网站发出的HEAD请求会返回一个会话cookie,但相同的请求,以及由Java代码或Postman制作的相同的Cookie,标题等不会。
调用来自这个JS:$.ajax({ url: myUrl, type: "HEAD", crossDomain: true, cache: false })。由于后两个标志,网址看起来像https://myUrl?_=1433456890。
在浏览器中,从控制台观察,请求消失,看起来像是来自ASP.net的会话ID作为Set-Cookie响应头返回。
当我将所有Cookie,标题(包括User-Agent)和请求中带有时间戳的URL剪切并粘贴到其他工具中时,我收到登录失败的重定向。我尝试以各种方式递增时间戳无济于事。
是否有任何客户端或服务器端方法来区分这两种情况?
是否存在关于该特定ajax / HTTP调用的内容,这意味着它不能被具有适当会话cookie的任意客户端复制?