我遇到了一些CORS和cookies的复杂问题。
我在example.com:8888上有一个REST API后端,在example.com:8000上有一个网站
当我通过它的Web界面(at:8888)访问REST API时,它会在浏览器中设置sessionid cookie。当我向API发出xmlhttprequest时如何捕获那个sessionid cookie?
响应中唯一的标题是Content-Type:
alert(xhr.getAllResponseHeaders()); //returns 'Content-Type'
我想,sessionid cookie应该位于“Set-Cookie”的某个地方。标题,但我无法访问它,因为"拒绝获得不安全的标题" Set-Cookie"错误。
在API端设置CORS_EXPOSE_HEADERS
CORS_EXPOSE_HEADERS = ('Set-Cookie',)
更新 我明白了,我无法通过xhr访问该标题。但是仍然:为什么cookie没有在浏览器中设置?