withCredentials 属性

简介: 跨域请求中若需发送Cookie,服务器须设置Access-Control-Allow-Credentials: true,并明确指定Access-Control-Allow-Origin为具体域名,不能为星号。前端需在XMLHttpRequest中显式设置withCredentials = true,否则浏览器不会携带Cookie。注意,Cookie遵循同源策略,仅服务器域名下的Cookie可被上传,前端无法通过document.cookie读取跨域Cookie。

上面说到,CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器,一方面要服务器同意,指定Access-Control-Allow-Credentials字段。
Access-Control-Allow-Credentials: true
另一方面,开发者必须在AJAX请求中打开withCredentials属性。
var xhr = new XMLHttpRequest(); xhr.withCredentials = true;
否则即使服务器同意发送Cookie浏览器也不会发送。或者服务器要求设置Cookie,浏览器也不会处理。
但是,如果省略withCredentials设置,有的浏览器还是会一起发送Cookie。这时可以显式关闭withCredentials。
xhr.withCredentials = false;
需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

相关文章
|
安全 API 开发工具
阿里云如何开通子账号
阿里云如何开通子账号
9684 1
|
Web App开发 安全 网络安全
vue-axios 发送请求,cookie带不上
首先配置是没问题的但是 chrome 请求cookie携带不上 全局配置 axios.defaults.withCredentials = true 或者单个请求头配置 withCredentials:true
1414 0
vue-axios 发送请求,cookie带不上
|
10月前
|
机器学习/深度学习 运维 监控
SSE 为何引发热议?实时数据背后的关键技术指南
SSE(Server-Sent Events)是一种基于HTTP的单向实时通信技术,允许服务器主动向客户端推送数据,广泛应用于新闻通知、股票行情、赛事直播等实时场景。相比轮询和WebSocket,SSE 更节省资源、易于实现,适合无需双向交互的实时数据传输需求。
|
8月前
|
运维 监控 供应链
Alibaba交易平台TMF2.0介绍
2017双11交易峰值达32.5万笔/秒,面对高并发与复杂业务需求,阿里推出TMF2.0框架,通过业务与平台分离、全链路可视化、配置化发布等创新,实现需求开发周期缩短至12天,支撑多业务快速试错与复用,构建可配置、可监控、可运维的电商技术新体系。
1065 5
Alibaba交易平台TMF2.0介绍
|
3月前
|
存储 关系型数据库 API
向量数据库对比:Pinecone、Chroma、Weaviate 的架构与适用场景
本文对比Pinecone(生产级)、Chroma(轻量原型)和Weaviate(混合搜索)三大向量数据库,结合真实生产经验与可运行Python代码,详解其适用场景、部署要点与迁移策略,助你为RAG系统选对检索引擎。
408 3
向量数据库对比:Pinecone、Chroma、Weaviate 的架构与适用场景
|
3月前
|
Web App开发 Rust 安全
C++与Rust的共生——不是零和博弈的未来
C++与Rust的关系常常被描绘成一场战争:C++是过时的巨人,Rust是崛起的新星,两者争夺系统编程的王座。这种叙事虽然戏剧性,但严重歪曲了现实。
259 2
|
存储 设计模式 Java
Java 期末考试不挂科必背基础知识点复习笔记整理
这是一份全面的Java基础知识点复习笔记,涵盖核心特性、数据类型、流程控制、数组、异常处理、JVM原理、多线程、设计模式及Java 8+新特性等内容。结合买飞机票、验证码生成和评委打分等应用实例,助你掌握考试重点,轻松应对Java期末考试,避免挂科!附带代码资源,供深入学习使用。链接:[https://pan.quark.cn/s/14fcf913bae6](https://pan.quark.cn/s/14fcf913bae6)
688 0
|
缓存 JavaScript 前端开发
使用 RTK Query 的好处:可扩展且高效的解决方案
使用 RTK Query 的好处:可扩展且高效的解决方案
394 1
|
搜索推荐 算法 Linux
这款文本转语音(TTS)
【8月更文挑战第6天】Fish Speech是一款先进的开源文本转语音(TTS)工具,它能迅速将文字转换为流畅自然的语音,尤其适合镜头前感到紧张的人制作视频内容。Fish Speech支持中文、英文及日文等多种语言,可通过简单的原始语音样本快速克隆个性化声音。其架构设计高效,仅需4GB显存即可运行,采用Flash-Attn算法实现高性能语音合成。Fish Speech具备易用性,提供Web界面操作,并可在Linux与Windows系统上部署。用户可通过官网([https://fish.audio/zh-CN/](https://fish.audio/zh-CN/))直接体验其强大功能。
2136 0
vue3中的父子间传值
vue3中的父子间传值
347 1

热门文章

最新文章