CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
对CORS协议不了解的同学,可以猛击这里。
今天我们来讨论其中的cookie传输问题。
场景:
http://a.com/test.html向
http://b.com/test.php
发起ajax请求。
test.php种cookie name:ball
test.html第二次发起请求时,希望将cookie(name:ball)带给test.php。
1. 实现
代码如下:
a.com/test.html
<body>
<script src="/jquery.min.js"></script>
<script>
var url = "http://b.com/test.php";
$.ajax({
url:url,
type:"GET",
xhrFields:{
withCredentials:true
},
success:function(res){
console.log(res);
}
})
</script>
</body>
说明:
- withCredentials:true是关键。只有加上此选项,浏览器才会允许跨域携带cookie。
b.com/test.php
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://a.com");
if (count($_COOKIE)){
echo json_encode($_COOKIE);
}
else{
header("Set-Cookie:name=ball;path=/");
}
说明:
- Access-Control-Allow-Credentials: true
与浏览器侧的withCredentials:true成对使用,表明服务端许可发cookie。
- Access-Control-Allow-Origin: http://a.com
表示服务端接收a.com的请求。如果请求时不需要带cookie,此字段可以写*,表明该站接收所有来源的ajax请求。如果需要传输cookie, 该字段只能写一个固定来源。
访问test.html,第二次时如愿在console里看到
{"name":"ball"}
这说明:
- b.com成功种下了cookie
- a.com成功在跨域ajax请求中带上了cookie
2. 探讨
2.1 test.php是将cookie是种到了a.com下还是b.com下呢?
我们在a.com和b.com下分别添加
cookie.php
var_dump($_COOKIE);
执行后发现,a.com下的cookie.php输出为空。cookie其实是种到了b.com下。
2.2 服务端单方面种cookie是否会成功?
既然2.1中的结论是cookie种到了b.com下,那么在发ajax请求时去掉
xhrFields:{
withCredentials:true
}
test.php是否能成功在b.com下种cookie呢?
修改代码后执行test.html,test.php在Response Headers中依然种了cookie,如下图所示。
然后我们访问
b.com/cookie.php
发现cookie并没能如愿种下。
2.3 a.com能否把自己域下的cookie带给b.com?
我们在a.com下事先种下cookie:name=x
访问test.html, 如下图所示
Resquest Headers中只带了b.com下的name=ball。并没有发送a.com下的cookie
2.4 a.com/test.html会因此能读到b.com下的cookie么?
我们访问a.com/test.html, 然后打开控制台。执行document.cookie,结果空空如野。
3. 总结
- A站向B站发起跨域ajax时,只能携带B站下的cookie给B。
- B站只有在A站允许的情况下,才能在跨域ajax中向自己的域下种cookie。
- 即使A,B站达成cookie传输协议,A站页面也不会因此能拿到B站的cookie。