CORS $.ajax 会话 cookie（访问控制允许凭据和 withCredentials=true）

Question

我意识到这个问题已经被问了十几次，每个回答都表明我做得对，但也许我错过了一些东西。

AJAX 像这样提供 CORS 请求...

$.ajax({
url: 'someotherdomain.com',
type: 'post',
data: {key: 'value'},
dataType: 'json',
async: false,
crossDomain: true,
beforeSend: function(xhr){
    xhr.withCredentials = true;
},
success: function(x, status, xhr){

},
error: function(xhr, status, error){

}
});

PHP 像这样提供 CORS 请求...

header('Access-Control-Max-Age: 1728000');
header('Access-Control-Allow-Origin: http://someotherdomain.com');
header('Access-Control-Allow-Methods: POST');
header('Access-Control-Allow-Headers: Content-MD5, X-Alt-Referer');
header('Access-Control-Allow-Credentials: true');
header("Content-Type: application/json; charset=utf-8");

根据所有文档，只要设置了“Access-Control-Allow-Credentials”服务器端标头和“withCredentials=true”客户端标头，域之间的会话 cookie 处理应该是透明的。我错过了什么吗？

Answer 1

async: false

阻止会话 cookie 在每次请求时被发送回服务器。以下修复了它。

async: true

虽然这确实允许在进行跨源请求共享调用时由浏览器设置会话 cookie，但我现在遇到以下情况的问题：

服务器 A 向客户端发送响应 使用 CORS 的客户端向服务器 B 发出请求

XMLHttpRequest -> PHP -> Session handler -> MySQL -> Stored Procedure 

由于 MUTEX 锁定 PHP 会话管理中的异步特性，显然，要求可能会强制使用不同的标头选项（例如 XCookie 或类似的东西）手动设置 cookie，以保持服务器会话和客户端请求同步.

这种特殊的解决方法并不适合我，因为我相信它会为会话劫持和会话重放攻击向量开辟一条轻松的通道。

使用 SSL/TLS 包装的连接可能有助于防止上述情况，但就为客户端独立提供安全措施而言，我认为这还不够。

有人对此有任何想法吗？

Answer 2

在上面的示例中，您将 Access-Control-Allow-Origin 标头设置为“http://someotherdomain.com”，这与您从 JQuery 请求的 url 相同。 Access-Control-Allow-Origin 标头应该是请求来自的域的值。作为一个快速测试，尝试将此标头的值设置为“*”（不带引号）并查看它是否有效（“*”表示允许所有域）。