假设我有一个域为myapp.com的Web应用程序。 该Web应用程序将主要是客户端应用程序,它将向多个网站(例如abc.com和1234.com)发出经过身份验证的CORS请求(基本上是设置cookie)。 当前的网络标准中是否有任何方法可以在客户端的浏览器中为abc.com和1234.com保留单独的cookie? 我看到cookie的方式始终是在myapp.com下设置,而不是针对CORS请求。
答案 0 :(得分:1)
浏览器永远不会将域A的cookie发送到域B。 如果myapp.com上有向abc.com发出CORS请求的js代码,则仅发送abc.com的cookie(如果withCredentials设置为true)。 否则将违反Same Origin Policy
如果您想完全阻止JS代码读取cookie,则可能要使用HttpOnly flag