配置xhr.withCredentials = true对请求的影响以及预检请求

原创 已于 2024-07-24 11:54:00 修改 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

于 2024-05-25 11:25:45 首次发布

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

一、withCredentials 是什么?

withCredentials = true 是 XMLHttpRequest 对象的一个属性设置。当将其设置为 true 时,意味着在跨域请求中,浏览器会在请求中包含凭据(如 cookies、HTTP 认证或客户端 SSL 证书),即使是跨域请求也会发送这些凭据。

1、当客户端配置xhr.withCredentials = true,表示允许在进行跨域请求时携带凭证信息,如Cookie,Session
等信息,否则是携带不过去的。

2、当客户端配置此属性时,会产生跨域问题 , 因为当客户端配置了withCredentials , 服务端如果配置了允许跨域
例如Access-Control-Allow-Origin:* 。 那么此时就会报错跨域,原因是当携带cookie等凭证时候,就是指定了服
务器必须给Access-Control-Allow-Origin明确的IP来源 , 不能是通配符 * , 会被视为此次的HTTP不安全。解决
方案一般会动态配置请求头res.setHeader('Access-Control-Allow-Origin', req.headers.origin); 动态设置
允许的客户端的IP3、一般来讲,客户端配了withCredentials = true,允许携带凭证,服务端也是需要同步配置此属性为True才可
以收到凭证的。但当客户端是简单请求(不会发起Options预检请求)的时候,服务端是可以收到cookie凭证的,所
以最好是按规矩来,服务端和客户端都要配置。

二、讨论下刚刚讲到的Options预检请求

   2.1 预检请求是什么 ?
       预检请求(Preflight Requests)是跨域请求中的一种机制,通过发送一个 OPTIONS 请求来确认实际请求是否
安全,并检查服务器是否支持特定的跨域请求。这个预检请求包含一系列头部信息,例如 Origin,用于指示实际请求的
来源。服务器根据这些信息来决定是否允许实际请求的发送。

   2.2 为什么要发起预检请求? 
       上面说到预检请求是跨域请求中的一种机制,确认实际请求是否安全。
       它存在的原因是因为客户端禁止非同源请求, 当发生跨域请求时,请求实际会被服务器正常处理,只是在响应的时
候被客户端给拦截掉并且抛出了一个跨域的错误。 
       仔细想下如果没有预检请求投石问路,那么一旦真的实际请求产生了跨域被客户端拦截。此时发生的情况是:请
求已经被服务器正常处理,并且修改了数据库的数据,客户端跨域报错,客户看不到数据的变化,但是实际数据已经发生了
变化, 就会出现数据被误修改的问题。 所以预检请求投的石问路存在是必要的,确保跨域请求可以被正常处理,不会出
现数据错乱问题。

   2.3 预检请求什么时候会被发送?CORS机制中,客户端将请求分为两种:
     1、简单请求(需同时满足以下条件):
          ● 请求方法是以下三种之一:GET,HEAD,POSTHTTP的头信息不超出以下几种字段:
             Accept,Accept-Language,
             Content-Language,
             Last-Event-ID,
             Content-Type
           ● Content-Type的值仅限以下三种:
             text\plain,
             multipart/form-data,
             application/x-www-form-urlencoded
     
     2、非简单请求(但凡不同时满足上面两个条件,就属于非简单请求)会触发预检请求。

模拟发送预检请求 , 添加自定义请求的头部字段,将请求标记为复杂请求。

   xhr.setRequestHeader("token", "thisisatoken");
   此时服务端即使配置了跨域也会报错跨域问题,原因是因为服务端也需要配置字段token,相当一个招呼吧,允
   许添加定义字段token,相当于白名单。

res.setHeader('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept, token');

三、心得感悟

一切的焦虑都来源于不甘现状又无能为力,唯有自身强大,才能无所畏惧。
行路难,多不易,不知未来,即走好当下每一步,走好了今天,才可能会有更好的明天 !

xhr.withCredentials发送跨域请求凭证
diaolanbeng0962的博客
06-17 1213
一、前言  今天遇到一个坑,浏览器请求数据的时候gg了。浏览器报错如下图: 因为请求头部设置了credentis mode is 'include', 从上面可以看出是Access-Control-Allow-Credentials这个响应必须设置为true。 二、思考 第一反应前端没有设置过这个值啊?应该走默认才对吧?测试环境OK啊! ---------------...
前端跨域设置 withCredentials: true
热门推荐
crippty的博客
05-03 6万+
在做登录认证的时候,会出现请求未登录的情况,查看请求头的时候发现并没有把登录时的cookie设置到第二次的请求头里面。查看资料才知道跨域请求要想带上cookie,必须要在ajax请求里加上xhrFields: {withCredentials: true}, crossDomain: true。 再次访问发现请求头可以携带cookie了。...
xhrFields:{ withCredentials: true } 详解
qq_40137978的博客
06-08 3825
自从HTML5利用CORS实现了跨域资源共享之后,无论是POST方式还是GET方式,我们都可以用ajax来跨域访问资源,但是我们要怎么用CORS 因为在默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。通过将withCredentials属性设置为true,可以指定某个请求应该发送凭据。如果服务器接收带凭据的请求,会用下面的HTTP头部来响应。 虽然设置了widthCredentials为true请求中会包含远程域的所有cookie,但这些cookie仍然遵循同源策略,所
axios withCredentials: true 跨域问题
徐同保的专栏
01-05 1724
const service = axios.create({ baseURL: process.env.VUE_APP_BASE_API, // 环境变量base接口地址 url = base url + request url withCredentials: true, // 跨域请求时发送Cookie timeout: 60000, // 请求超时 headers: { "Content-Type": "application/...
在 ajax 跨域请求中携带 cookie 做身份认证 (xhr withCredentials属性)
kanbujian
10-11 1万+
在 ajax 跨域请求中携带 cookie 做身份认证 时间 2016-06-04 21:33:00  Secbone's Blog 原文  https://secbone.com/index.php/archives/192/ 主题 Ajax 好吧,一如既往的短篇记录性文章,记下坑供查阅 原因大概是这样的,公司有很多内网的服务系统,同属于同一个主域,但是是不
客户端xhr.withCredentials = true; 允许携带凭证,带的是什么凭证?
09-22
> 预检请求本身不携带凭证是规范行为,需确保服务端对OPTIONS请求返回正确的CORS头,且不依赖凭证验证[^3] 3. **fetch API中如何配置跨域凭证?** > 使用`fetch(url, { credentials: 'include' })`等价于XHR的`...
还是刚刚的问题 报错和url实际路径没关系 function sendAutoMKCOL() { const resultDiv = document.getElementById(‘mkcolResult’); resultDiv.textContent = “正在发送MKCOL请求…”; resultDiv.style.backgroundColor = “#e0e0e0”; // 修正1:使用具体资源路径 const url = serverUrl; // 修正2:先发送OPTIONS预检请求 const preflight = new XMLHttpRequest(); preflight.open("OPTIONS", url, true); preflight.setRequestHeader("Origin", window.location.origin); preflight.setRequestHeader("Access-Control-Request-Method", "MKCOL"); preflight.setRequestHeader("Access-Control-Request-Headers", "Depth"); // 关键修复3:添加超时处理 preflight.timeout = 5000; // 5秒超时 preflight.ontimeout = function() { resultDiv.textContent = "OPTIONS请求超时"; resultDiv.style.backgroundColor = "#ffcdd2"; }; preflight.onload = function() { console.log("OPTIONS响应状态:", preflight.status); console.log("响应头:", preflight.getAllResponseHeaders()); // 打印所有响应头 if (preflight.status === 200) { // 修正3:预检成功后发送MKCOL请求 //显示完整响应信息(包括头部和正文 // 关键修复4:验证CORS头 const allowOrigin = preflight.getResponseHeader("Access-Control-Allow-Origin"); const allowMethods = preflight.getResponseHeader("Access-Control-Allow-Methods"); if (allowOrigin !== "http://192.168.0.1:80") { resultDiv.textContent = `CORS Origin不匹配: ${allowOrigin}`; resultDiv.style.backgroundColor = "#ffcdd2"; return; } if (!allowMethods.includes("MKCOL")) { resultDiv.textContent = `MKCOL方法未允许: ${allowMethods}`; resultDiv.style.backgroundColor = "#ffcdd2"; return; } const mkcol = new XMLHttpRequest(); mkcol.open("MKCOL", url, true); // 修正4:添加必须的Depth头 /* mkcol.setRequestHeader(“Depth”, “1”); mkcol.setRequestHeader(“Content-Type”, “application/xml”); */ mkcol.onload = function() { if (mkcol.status >= 200 && mkcol.status < 300) { resultDiv.textContent = `MKCOL成功! 状态码: ${mkcol.status}`; resultDiv.style.backgroundColor = "#e8f5e9"; } else { resultDiv.textContent = `MKCOL失败: ${mkcol.status} ${mkcol.statusText}`; resultDiv.style.backgroundColor = "#ffebee"; } }; mkcol.onerror = function() { resultDiv.textContent = "MKCOL请求失败,请检查CORS配置"; resultDiv.style.backgroundColor = "#ffcdd2"; }; mkcol.send(); } else { resultDiv.textContent = `预检失败: ${preflight.status} ${preflight.statusText}`; resultDiv.style.backgroundColor = "#ffcdd2"; } }; preflight.onerror = function() { resultDiv.textContent = "OPTIONS预检请求失败"; resultDiv.style.backgroundColor = "#ffcdd2"; }; preflight.send(); }
最新发布
10-22
我们注意到用户提供的代码中,OPTIONS预检请求前端仍然失败,但curl测试是成功的。结合用户强调“和url实际路径没关系”,我们需要重点检查浏览器环境与curl环境的差异。 ### 关键问题分析 1. **浏览器安全策略...
如何往option预检请求中添加自定义头部
12-04
在发送Option预检请求(Preflight Request),也称为CORS(跨源资源共享)请求时,如果你想要添加自定义头部,你需要遵守CORS的规定,并且浏览器通常会限制哪些头部信息可以跨域传递。然而,你可以尝试在以下两个...
ajax 如何禁止 预检请求,如何跳过“选项”预检请求
05-19
要跳过“选项”预检请求,可以在发送 AJAX 请求时设置 `XMLHttpRequest` 对象的 `withCredentials` 属性为 `true`,并且将 `Access-Control-Allow-Origin` 头部设置为允许的域名。 例如: ``` var xhr = new ...
现在有一个问题就是我把ui界面放到uhttpd中运行, 我运行uhttpd之后访问我写的ui界面 点击一个按钮 正常会发送一个mkcol或者其他请求 但是现在我都是发送options的请求前端代码如下 xhr.open("MKCOL", url, true);
10-22
这通常是由跨域请求(CORS)引起的预检请求(preflight)。预检请求会先发送一个OPTIONS方法到服务器,以确定实际请求(如MKCOL)是否安全可发送。 ### 原因分析 1. **跨域请求触发预检**:当前端代码从与服务器...
【Ajax设置请求头】withCredentials :true
qq_43886548的博客
01-23 2968
ajax 跨域访问 as been blocked by CORS policy: Request header field withcredential is not allowed by Access-Control-Allow-Headers in preflight response.通过更新Cookie的属性来解决这个问题:如果打算在跨站点上下文中设置Cookie,则指定相同的=none和安全的。请注意,只有通过https发送的Cookie才能使用安全属性。如果饼干不应该由跨站点请求设置,则指定样
xhrFields:{ withCredentials: true }使用post请求,该参数作用详解
宋坚强大大~~
12-29 3万+
自从HTML5利用CORS实现了跨域资源共享之后,无论是POST方式还是GET方式,我们都可以用ajax来跨域访问资源,但是我们要怎么用CORS  这里我用jquery的ajax为例, 因为在默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。通过将withCredentials属性设置为true,可以指定某个请求应该发送凭据。如果服务器接收带凭据的请求...
axios.defaults.withCredentials = true 前端跨域传递Cookie设置
xiaoyuer_2020的博客
10-10 3万+
登录之后的请求会带登录用户信息,需要把登录时的cookie设置到之后的请求头里面。而跨域请求要想带上cookie,必须要在vue的main.js里加上axios.defaults.withCredentials = truewithCredentials 属性是一个Boolean类型,它指示了是否该使用类似cookies,authorization,headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个跨站点访问控制(cross-site Access-Control)请求。 axi.
前端配置了axios.defaults.withCredentials = true,但出现了跨域问题
MADAO的博客
02-06 2010
刚开始的时候,因为前端登录时候获取的session无法传递给其他的界面, 然后我就在网上找到了在axios的封装文件中添加axios.defaults.withCredentials = true这个指令。结果在网上查了很多办法,发现:后端必须也要同样配置。添加了之后,我就开始了疯狂的出现跨域问题。简单解决:在后端配置好源和运行携带。
php withcredentials,withCredentials=true跨域带上cookie
weixin_39692830的博客
03-19 719
跨域是一个老的话题,今天就来看看如何跨域。1.普通跨域(在http://www.webhek.com下请求一个http://www.qiutianaimeili下的接口)$.ajax({url:'http://www.qiutianaimeili.com/php/crossDomainJsonp.php',type:'POST',data:{name:'nb'},success:function...
vue中 我给axios添加了 withCredentials: true, 就显示跨域了
业余前端的职业经历
10-27 1万+
withCredentials: true, 这个东西 表示每次请求可以携带 cookie 和 session 但是带上这个 后台的跨域模块 "Access-Control-Allow-Origin : “*” 就不能写 * 号了 必须指定 域名 比如 "Access-Control-Allow-Origin : “http://localhost:8080” "Access-Control-Allow-Origin : “*” 当然你上面的这样配置还是不行的 还需要一个 我这里是以 n
Vue在跨域请求时携带cookie的配置withCredentials: true
生有涯,知无涯
06-17 3万+
Vue在发起跨域请求时,后端已经开启CORS,前端需要也携带cookie,此时需要在前端请求头加上withCredentials: true,表示请求可以携带cookie,例如以下为用户注册部分代码。 axios.post(this.host + '/users/', { username: this.username, ...
withCredentials
学习记录
08-20 1万+
redentials,即用户凭证,是指 cookie、HTTP身份验证和TLS客户端证书。需要注意的是,它不涉及代理身份验证或源标头。 XMLHttpRequest 的 withCredentials 属性 默认值为false。在获取同域资源时设置 withCredentials 没有影响true:在跨域请求时,会携带用户凭证 false:在跨域请求时,不会携带用户凭证;返回的 res...
axios 设置了 withCredentials = true 但还是不能带上 cookie 的问题
是微风,是晚霞,是无可替代
04-10 4965
简单的来说就是出现了跨域请求,但浏览器默认的SameSite=Lax是不支持跨域下cookie操作的。因此设置cookie失败。打开谷歌浏览器,地址栏输入:chrome://extensions/然后打开开发者模式,把下载的拖进去。解决方法有很多,有通过代码解决的,可以通过设置浏览器来解决,但是不能要求所有用户都改浏览器设置。,让请求来携带 cookie,但浏览器依旧无法携带 cookie。方法一:添加一个SpringSession配置类。方法二:在yml配置文件中添加配置
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值