我在域api.example.com
用户正在访问www.website.com,其中脚本向api.example.com发出XmlHttpRequest并获取带有Cookie的响应。
似乎HTTP代理不支持API的响应cookie。
我知道非跨域漏洞的Cookie政策,但我认为此处的域名为api.example.com。似乎我猜错了。
我的api.example.com上的API是否有其他方式可以记住从一个网站到另一个网站的用户数据?如果没有,从这个角度来看,Criteo和其他重定向网站等服务如何运作?
答案 0 :(得分:1)
确保您的API设置:
Access-Control-Allow-Credentials标题为true,Access-Control-Allow-Origin标题为实际请求的来源值XMLHttpRequest.withCredentials设置为true。