在 URL 中设置请求标头？

Question

我们有一个主要用于通过 jquery 的 $.ajax() 从 javascript 调用的 web 服务。当我们从 javascript 调用方法时，我们在请求标头中设置了一个安全令牌。如果它不存在，或者它没有验证，我们会返回一个未经授权的错误。

这一切都很好。

但现在我们面临着返回图像文件的问题。因此，我们没有让 javascript 调用 $.ajax()，而是在 DOM 中嵌入了一个图像标签：

<img src='http://mywebservice/imagescontroller/getAnImage?imageid=123'/>

当我们这样做时，我们的请求标头中没有我们的安全令牌。我可以想到两个“简单”的修复。 1.，我们只允许匿名访问我们的图像 URL，或者 2.，我们将安全令牌作为 URL 参数传递。

当然，第一个选择不是一个好主意。第二个足够简单。但在我决定采用这种方法之前，我想知道是否有一些简单的方法可以在这类请求上设置请求标头，而我错过了。

想法？

Answer 1

简单修复：使用会话 cookie。那是一个没有有效期的cookie。它会随着每个请求自动传输，并在用户关闭浏览器或您通过 javascript 删除 cookie 时立即消失。

您只需将您的令牌存储在那里并免费将其交付给您的服务器代码。

这里有一些演示内容： How do I set/unset cookie with jQuery?

如果您在另一个域上运行服务，则需要使用 CORS 来使 AJAX 运行 - 否则您的 AJAX 将运行到同源策略中。使用 CORS，您甚至可以使 cookie 工作。

请看这里：CORS request - why are the cookies not sent?

如果您不想使用 CORS，您还可以通过反向代理将服务域合并到您自己的域中。这将解决 SOP 问题，并使 cookie 的使用成为可能。在 Apache 中设置反向代理非常简单。