希望这很容易回答。
对于 XHR2 中的凭据请求,发送哪些 cookie?
我一直在关注the MDN article on credentialed requests,它显示cookie pageAccess=2 是随请求一起发送的。但是,它没有解释该 cookie 的来源,以及为什么专门发送该 cookie。页面设置的所有 cookie 是否都在任何凭据请求中发送?
【问题讨论】:
标签: javascript authentication cookies xmlhttprequest credentials
来自CORS 上的 HTML5 Rocks 页面:
.withCredentials属性将在请求中包含来自远程域的所有 cookie,它还将设置来自远程域的所有 cookie。
我假设“任何 cookie”是指“所有 cookie”(可能受 cookie 上的仅 HTTPS 标志的影响),因为没有使用 XHR2 指定 cookie 的机制。
发送的 cookie 是由远程域设置的 cookie:如果 foo.com 向 bar.com 发送一个请求,则发送由 bar.com 设置的任何 cookie .实际上,假设 facebook.com 有一个 CORS 感知 API,需要您登录才能使用。我之前在浏览器会话中登录了 Facebook,但现在我正在浏览 foo.com,它将代表我使用 Facebook 的 API。 foo.com 要求浏览器向 facebook.com 发送跨域请求连同我所有的 facebook.com cookie,以便 Facebook 知道我是谁,并且我已经通过 Facebook 的身份验证。 p>
【讨论】: