本文探讨了跨域XMLHttpRequest及Fetch请求中的凭证处理方法,包括如何设置XMLHttpRequest的withCredentials属性来实现携带Cookie等凭证信息,并介绍了Access-Control-Allow-Origin与Access-Control-Allow-Credentials响应头的使用规范。
var contentType
=
'application/x-www-form-urlencoded; charset=UTF-8'
;
var xhrFields
= {
withCredentials
:
true
}
;
$
.
ajax
({
type
:
,
url
:
url
,
xhrFields
:
xhrFields,
data
:
data,
datatype
:
"json"
,
traditional
:
traditional
,
cache
:
false
,
success
:
function
(response, status, xhr) {
一般而言,对于跨域 XMLHttpRequest 或 Fetch 请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置 XMLHttpRequest 的某个特殊标志位。
对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。
原生js:
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://*******');
xhr.withCredentials = true;
xhr.send();
Access-Control-Allow-Origin的作用在于,允许特定白名单用户(浏览器)访问我这个接口。当设置为 * 的时候,表示所有用户都能访问。如果值为 'http://xxx.com',则表示只接受来自这个域名的请求,其他的一律拒绝。然而用了Access-Control-Allow-Credentials: true,就不能设置Access-Control-Allow-Origin:'*'了。所以可以设置,当A用户进来的时候,我们设置A用户为白名单就好,同理B用户也是。也就是说,谁访问就把谁的域设置为白名单就可以了。
域名可以通过以下方式获取
Access-Control-Allow-Origin
响应首部中可以携带一个 Access-Control-Allow-Origin 字段,其语法如下:
Access-Control-Allow-Origin:
<origin> | *
其中,origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。
HTTP 请求首部字段(当开发者使用 XMLHttpRequest 对象发起跨域请求时,它们已经被设置就绪。
Origin 首部字段表明预检请求或实际请求的源站。origin 参数的值为源站 URI。它不包含任何路径信息,只是服务器名称。不管是否为跨域请求,ORIGIN 字段总是被发送。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
