凭据:“包括”不包括Cookie标头

时间:2019-02-04 03:53:53

标签: javascript cookies fetch fetch-api

我在客户端上使用credentials: 'include'mode: 'cors'。在服务器上,我看到access-control-allow-credentials: trueaccess-control-allow-origin: https://dev.com:9443标头。我没有看到我的cookie标头,而且似乎也找不到为什么它没有发送。让我知道是否可以提供更多详细信息。

获取请求

fetch(url, {
  method: 'get',
  credentials: 'include',
  mode: 'cors',
  headers: {
    'Content-Type': 'application/json'
  }
});

选项请求标头

:authority: prod.fakedomain.com
:method: OPTIONS
:path: /Search
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,fr;q=0.8,la;q=0.7
access-control-request-headers: content-type
access-control-request-method: GET
cache-control: no-cache
dnt: 1
origin: https://dev.com:9443
pragma: no-cache
referer: https://dev.com:9443/
user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36

选项响应标题

access-control-allow-credentials: true
access-control-allow-headers: content-type
access-control-allow-methods: GET,HEAD,POST
access-control-allow-origin: https://dev.com:9443
access-control-max-age: 1800
allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
content-length: 0
date: Mon, 04 Feb 2019 03:45:06 GMT
status: 200
vary: Origin
x-application-context: application:8080

获取请求标头

:authority: prod.fakedomain.com
:method: GET
:path: /Search
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,fr;q=0.8,la;q=0.7
cache-control: no-cache
content-type: application/json
dnt: 1
origin: https://dev.com:9443
pragma: no-cache
referer: https://dev.com:9443/
user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36

获取响应标题

access-control-allow-credentials: true
access-control-allow-origin: https://dev.com:9443
content-encoding: gzip
content-type: application/json;charset=UTF-8
date: Mon, 04 Feb 2019 03:45:07 GMT
status: 200
vary: Origin,Accept-Encoding
x-application-context: application:8080

3 个答案:

答案 0 :(得分:2)

正如sideshowbarker在他的评论中提到的那样,浏览器没有为域prod.fakedomain.com设置cookie,并且看起来该服务器也没有设置cookie。因此,如果您为dev.com设置cookie而不是httpOnly,则可以尝试将它们复制到prod.fakedomain.com(通过JS读写)。

如果要将敏感数据存储在cookie中(例如JWT令牌),请阅读有关XSS / XST攻击的信息,并考虑使用HttpOnly标志的可能性。

答案 1 :(得分:1)

我终于发现问题只是浏览器不允许两个不同的域共享任何 cookie(相同的二级域除外),这超出了 credentials: include 可以做到的,经过 2 个小时的尝试...我发现credentials: include 只是意味着您可以发送 cookie,但并不意味着您可以使用两个不同的域发送 cookie..

无论你做什么,更改浏览器设置、设置 cookie 的 SameSite 任何方式,就是不能那样做...

这就是我的结论,希望你明白...

答案 2 :(得分:0)

我能够通过进入Safari隐私设置并取消选中Prevent cross-site tracking

来解决此问题。

enter image description here

相关问题
最新问题