通过 HTTPS 的 HTTP Cookie 和 Ajax 请求

Question

我知道以前曾以各种形式提出过这个问题，但我似乎无法解决这个问题。 我尝试过使用 jQuery 和原生 JS API 来发出 Ajax 请求。

我的情况如下（见附图）：

1. 浏览器发出 HTTP 请求
2. 服务器响应并设置持久性 Cookie
3. 浏览器发出 HTTP Ajax 请求，Cookie 就在那里
4. 服务器按预期响应，更新 Cookie
5. 浏览器发出 HTTPS Ajax 请求，Cookie 不再存在 (?!)
6. 服务器给出“默认”响应，因为没有 Cookie（意外行为）

在任何人开始关于跨域请求的讲座之前，让我先声明几件事：

• 我知道这是一个跨域请求（不同的协议），这就是为什么服务器在响应中设置Access-Control-Allow-Origin标头（我使用的是Chrome和Firefox，两者都支持CORS）
• 不过，我还知道 HTTP cookie 应该可以通过 HTTPS 进行管理（请参阅 here），因为主机是相同的
• （编辑）为通用域（例如 .domain.ext）正确设置了 cookie，并且没有设置 HttpOnly 和 Secure 标志

那么，为什么，为什么，为什么浏览器在进行 HTTPS Ajax 调用时不传递 cookie？有任何想法吗？我快疯了……

     +-----------+ HTTP Request     +-----------+
     |Browser    |+---------------->|Server     |
     +-----------+                  +-----------+

                   HTTP Response
                  <----------------+
                   Set-cookie

                   Ajax HTTP Req.
                  +---------------->
                   Cookie (OK)

                   HTTP Response
                  <----------------+
                   Set-cookie (OK)

                   Ajax HTTPS Req.
                  +---------------->
                   No Cookie (!!!)

Answer 1

好的，找到cookie问题的解决方案了。

请参阅XHR specs、jQuery docs 和 StackOverflow。

在切换协议和/或子域时发送 cookie 的解决方案是将 withCredentials 属性设置为 true。

例如（使用 jQuery）

 $.ajax( {
   /* Setup the call */
   xhrFields: {
     withCredentials: true
   }
 });

Answer 2

Document.cookie 和 Ajax Request 不共享 cookie。否则，ajax 无法从 document.cookie 或响应标头访问 cookie。它们只能由远程域控制。

如果您首先通过 ajax 从服务器获得包含 cookie 的响应，那么您可以请求通过 cookie 与服务器进行 ajax 通信。

对于这种情况，您可以编写如下代码（jQuery）

 $.ajax({
      xhrFields : {
           withCredentials : true
      }
 });

见this article和demo