让 CORS 与 JQuery 客户端、Node / Express 服务器一起工作的问题

Question

我在使用 cookie 进行跨源资源共享时遇到问题。这是我的设置：

客户：

    $.ajax({
        type: 'POST',
        url: '/processReq',
        data: params,
        xhrFields: {withCredentials:true},
        crossDomain: true,
        success: ...
    });

我已经在浏览器中调试了客户端，并验证了 XMLHttpRequest.withCredentials 实际上是真的。

服务器：

我正在设置以下标题：

res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', '*');

我的问题是我无法让浏览器存储会话 cookie，并在后续请求中发送到服务器。

以下是浏览器中的响应标头：

{
    "server": "nginx/1.2.6",
    "date": "Fri, 01 Feb 2013 23:46:07 GMT",
    "content-type": "application/json; charset=utf-8",
    "content-length": "306",
    "connection": "keep-alive",
    "x-powered-by": "Express",
    "access-control-allow-credentials": "true",
    "access-control-allow-origin": "*",
    "set-cookie": [
        "id=s%3Azm1m...NXe4Lkr9rLw; Domain=api.mydomain.io; Path=/; Expires=Sat, 01 Feb 2014 23:46:07 GMT; HttpOnly"
    ]
}

每次测试时，我都没有收到发送到服务器的 cookie。我错过了什么吗？非常感谢任何帮助。

Answer 1

您不能将('Access-Control-Allow-Origin', '*') 与('Access-Control-Allow-Credentials', true) 一起使用。您需要将Access-Control-Allow-Origin 显式设置为一个值。如果您仍需要“*”行为，请以编程方式将值设置为请求 origin 标头。

来自https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS?redirectlocale=en-US&redirectslug=HTTP_access_control：

重要提示：响应凭据请求时，服务器 必须指定域，并且不能使用通配符。

Answer 2

另一个完全避开 CORS 的优雅选项是使用隐藏的 iframe 和 window.postMessage。

postMessage API 让两个浏览器框架可以跨域通信。基本设计如下：

1. 在domain-1.com上加载主页
2. 主页从domain-2.com加载隐藏的iframe
3. 隐藏 iframe 加载 javascript 以与 domain-2.com API 接口

每当主页希望跨域交谈时，它都会通过隐藏的 iframe 代理请求。没有 CORS 需要处理 - 没有！

一些教程：

• http://davidwalsh.name/window-postmessage
• https://developer.mozilla.org/en-US/docs/DOM/window.postMessage