关于源映射,我在 chromium(内部版本 181620)中遇到了一个奇怪的行为。 在我的应用程序中,我使用的是缩小的 jquery,登录后,我开始在服务器日志文件中看到对“jquery.min.map”的 HTTP 请求。这些请求缺少 cookie 标头(所有其他请求都很好)。 这些请求甚至没有在开发者工具的 net 选项卡中公开(这对我来说并没有那么困扰)。
关键是,这个应用程序中的 js 文件应该只对登录的客户端可用,所以在这个设置中,源映射要么不起作用,要么我必须将源映射的位置更改为公共目录。
我的问题是:这是一种期望的行为(意思是源映射请求不应发送 cookie)还是 Chromium 中的错误?
【问题讨论】:
标签: javascript cookies google-chrome-devtools source-maps
我遇到了这个问题,并对为什么某些身份验证 cookie 没有在 .js.map 文件的请求中发送到我们的应用程序感到好奇。
在我使用 Chrome 71.0.3578.98 进行的测试中,如果 cookie 的 SameSite cookie atttribute 设置为 strict 或 lax,Chrome 在请求 .js.map 文件时不会发送该 cookie。当没有sameSite限制时,会发送cookie。
我不知道预期行为的任何规范。
【讨论】:
InspectorFrontendHost.cpp 中的String InspectorFrontendHost::loadResourceSynchronously(const String& url) 实现(被调用以加载源映射资源)使用DoNotAllowStoredCredentials 标志,我相信这会导致您观察到的行为。
此方法具有潜在危险,因此我们(您)可以使用此标志以确保安全并避免泄露敏感数据。
附带说明,仅将jquery.min.js 提供给登录用户(即,不是来自无cookie 域)在生产环境中部署并不是一个好主意。我不确定您背后的想法,但如果您确实需要避免将文件提供给未访问您网站的客户,您可以求助于检查 Referer HTTP 请求标头。
【讨论】: