Ajax 跨域携带 Cookie 请求

问题描述

在使用ajax请求其他平台时进行登录处理，cookie携带时失效。(使用PHP与Jquery作为演示)

例如，当我的域名 www.example.com 调用Ajax访问 api.exmaple.com时进行登录操作,这个时候api.example.con的响应中肯定会有一条类似为Set-Cookie: PHPSESSID=6ut2plej880p83ja9f76doue1i; path=/

但是当页面刷新后，重新去访问api.example.com时你会发现这个session已经失效了。

问题原因

由于一般的现代浏览器均遵从跨域请求规范，即Access-Control-Allow-Origin和Access-Control-Allow-Credentials。前者的作用为，允许指定域名跨域请求，后者作用为是否允许请求时携带验证信息(即Cookie等其他信息)

解决方案

对于服务端需要添加两个header(Access-Control-Allow-Origin与Access-Control-Allow-Credentials)，同时注意 Access-Control-Allow-Origin 必须指定单个域名，不能为通配符*,Access-Control-Allow-Credentials 为 true。

对于Ajax请求端，可以直接设置ajax的全局属性

1
2
3

$.ajaxSetup({xhrFields: { //全局设置AJAX携带COOKIE
    withCredentials: true
}});