在请求静态内容时避免使用 cookie

Question

我刚刚使用 Google chrome 的开发工具对我的一个 Web 应用程序页面（使用 ASP.Net 构建并在开发服务器上运行）进行了审核。一个特别的警告引起了我的注意：

提供来自无 cookie 域的静态内容 (5)！

我想知道是否可以为此类请求避免使用 cookie。我看到也没有对 javascript 文件的 cookie 请求。我也可以避免在这些文件的标题中使用 cookie 吗？为什么浏览器没有为 javascript 文件附加 cookie 并为 CSS 和图像附加？

Answer 1

Cookie 被“附加”到域和路径。如果您为文件上方的路径设置 cookie，它们将与对这些文件的任何请求一起发送。

警告消息本身会告诉您如何解决此问题 - 为您的静态内容使用另一个域。或者子域，只要确保在这种情况下保持主域无 cookie。

Answer 2

最简单的做法是遵循您粘贴的警告消息中的确切建议（从您未设置 cookie 的完全不同的主机名提供静态资产）。但在现代浏览器中，您现在还可以选择在相关元素上设置 crossorigin="anonymous" 属性，这将阻止为匹配的请求发送 cookie。您需要将此与在静态资产响应中返回 access-control-allow-origin: YOUR-ORIGIN-HERE.com 标头相结合。