我在不同的域上托管一个 WebApp 和他的 API,并使用 CORS 来解决相同的源策略。到目前为止,一切都很好。这行得通。
为了每次会话只发送一次 CORS 预检,我设置了 Access-Control-Max-Age 到 20 天,但这不起作用(在 Chrome 中测试): https://db.tt/vfIW3fD2
我需要改变什么?
【问题讨论】:
标签: http http-headers cors same-origin-policy access-control
如果您使用的是 Chrome 开发工具,请确保您有“禁用缓存(在开发工具打开时)”未选中。我遇到了“Access-Control-Max-Age”的问题,只是意识到我已经选中了该选项。
【讨论】:
Chrome/Blink 规定的最大预检时间为 10 分钟(600 秒)。这是定义它的源代码中的位置:
任何超过 10 分钟的预检时间都将被忽略,而是使用 10 分钟。
不同的浏览器可能有不同的最大年龄政策。 Safari/WebKit 最多缓存 5 分钟,而 Firefox 最多缓存 24 小时。 Chrome 源代码表明存在最大值是为了“将切换到安全网络后使用中毒缓存的风险降至最低”。
如果代码无法解析 max-age 标头(或者服务器没有指定 max-age 标头),浏览器默认为 5 秒。
【讨论】:
我不会过于依赖预检缓存。
来自规范:
用户代理可以在 max-age 字段中指定的时间过去之前清除缓存条目。
另外,请记住以下几点(来自 CORS 规范):
当预检结果缓存中存在满足以下条件的缓存条目时,存在缓存匹配:
源字段值是源源的区分大小写匹配。
url 字段值是请求 URL 的区分大小写匹配。
凭证字段值为真且省略凭证标志未设置,或者为假 并设置了省略凭据标志。
您的屏幕截图无法确定上述任何一项是否属实。
【讨论】:
withCredentials 设置了省略凭据标志!== true。凭据字段值是指服务器响应中可能存在或不存在的 Access-Control-Allow-Credentials 标头。换句话说,如果发送并缓存了其他类似的预检请求,听起来好像不会查询预检缓存,但预检缓存中的匹配项确实包含 cookie,但响应中不包含 Access-Control-Allow-Credentials=true ,或者在请求中未包含 cookie,但在响应中包含 Access-Control-Allow-Credentials=true。