【问题标题】:Access-Control-Allow-Credentials in combination with httpOnly - cookiesAccess-Control-Allow-Credentials 结合 httpOnly - cookie
【发布时间】:2022-01-17 19:12:26
【问题描述】:

通过标题“Access-Control-Allow-Credentials”,可以定义响应将被 JavaScript 公开和访问。

From the Docs:

凭据是 cookie、授权标头或 TLS 客户端证书。

使用 Cors - Cookies 时,我需要将此标头设置为 true (https://stackoverflow.com/a/46412839/6458608)。

通过“http-only”cookie,我可以定义不应在 JS - 上下文中公开 cookie。

至少在我的理解中,这两个配置相互挑战。

问题:

  • 是否有一些优先级,例如“即使设置了 allow-credentials 标头,http-only 也不会暴露给 JS - 上下文”?
  • 在使用 cors - cookie 时是否需要考虑一些事项?或者我可以确定我永远无法访问 JavaScript 中的 http-only cookie 吗?

【问题讨论】:

    标签: cookies cors


    【解决方案1】:

    这两个设置是相关的,但不要互相挑战。在 http-only 的情况下,您是在说您是否可以访问 javascript 中 cookie 的

    另一方面,标头 Access-Control-Allow-Credentials 由服务器设置,以告诉浏览器 javascript 是否有能力告诉浏览器在 CORS 请求上发送 cookie(使用 @ 上的 withCredentials 标志987654326@)。因此,javascript 仍然无法访问实际的 cookie 值,它现在有一种方法可以修改浏览器在何时发送 cookie 值的行为。

    更多信息-

    https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials

    【讨论】:

    • 这符合浏览器的行为以及我为理解这些概念所做的一些测试。在这种情况下,我发现 mozilla - 文档有点误导。
    猜你喜欢
    • 2016-01-21
    • 2019-12-14
    • 2018-03-27
    • 2015-04-14
    • 1970-01-01
    • 2019-04-01
    • 2014-09-01
    • 2022-10-13
    • 2022-01-13
    相关资源
    最近更新 更多