【发布时间】:2019-03-04 11:53:41
【问题描述】:
我正在尝试在域“example.com”上构建一个登录站点,该站点将 Ajax 请求发送到域“other_domain.com”,如果凭据正常,则此请求会发回会话 cookie。之后我想重定向到“other_domain.com”网站并想登录。
我有一个适用于 IE11、Edge、Chrome 但不适用于 Firefox 的解决方案,因为当我重定向到“other_domain.com”站点时,Firefox 不会设置返回的 cookie。
这是ajax请求代码:
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open('POST', 'https://other_domain.com/login', true);
xhr.setRequestHeader('Content-Type', 'application/json');
xhr.onreadystatechange = function () {
if (this.status == 200 && this.readyState == 4) {
window.location.replace("https://other_domain.com/app");
}
};
xhr.send(JSON.stringify(payload));
如果凭据正确,我可以在每个浏览器上看到 OPTIONS 请求成功,并且 AJAX 发布在每个浏览器上都返回 200 OK。
返回的 cookie 具有以下值:
CreationTime: "Fri, 28 Sep 20018 12:48:49 GMT"
Domain: "other_domain.com"
Expires: "Session"
HostOnly: true
HttpOnly: true
LastAccessed: "Fri, 28 Sep 20018 12:48:49 GMT"
Path: "/"
Secure: true
sameSite: "Lax"
标记为重复后的其他信息:
我可以在开发者控制台中看到,上面代码中的 OPTIONS 和 POST 请求返回了以下标头:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.com
我也可以在 Firefox 的响应中看到具有正确值的 Set-Cookie 标头,但在重定向到 other_domain.com 后未设置 cookie。 此外,我的 Firefox 设置为“接受第三方 cookie 和站点数据”-“始终”
【问题讨论】:
-
CORS 具有 Access-Control-Allow-Credentials: true developer.mozilla.org/en-US/docs/Web/HTTP/Headers/… ?
-
并确保您没有使用 localhost 进行测试 stackoverflow.com/a/13967269/597200
-
看这个以获得更好的解释stackoverflow.com/a/24689738/597200
-
Access-Control-Allow-Credentials 标头已设置,Origin 标头也设置为正确的域。我也不在本地主机上测试。它适用于除 Firefox 之外的所有浏览器。也许 Firefox 需要一些额外的 CORS 设置,但我在搜索中没有找到任何东西
-
根据更新的问题重新打开
标签: javascript ajax firefox cors