it-roy-ru.com

Почему метод jaquery .ajax () не отправляет мой сеансовый cookie?

После входа на сайт через $.ajax() я пытаюсь отправить второй запрос $.ajax() на этот сайт, но когда я проверяю заголовки, отправленные с помощью FireBug, в запрос не включается файл cookie сеанса.

Что я делаю неправильно?

309
user345625

AJAX-вызовы отправляют Cookies только в том случае, если URL-адрес, по которому вы звоните, находится в том же домене, что и ваш скрипт вызова.

Это может быть междоменной проблемой.

Возможно, вы пытались вызвать URL-адрес с www.domain-a.com, когда скрипт вызова был на www.domain-b.com (другими словами: вы сделали междоменный вызов, и в этом случае браузер не будет отправлять файлы cookie для защиты вашей конфиденциальности).

В этом случае ваши варианты:

  • Напишите небольшой прокси, который находится на домене-b и перенаправляет ваши запросы на домен-a. Ваш браузер позволит вам вызывать прокси, потому что он находится на том же сервере, что и вызывающий скрипт.
    Затем вы можете настроить этот прокси-сервер так, чтобы он принимал имя файла cookie и параметр значения, которые он может отправлять в домен a. Но для того, чтобы это работало, вам нужно знать имя куки-файла и значение вашего сервера в домене-a, требующем аутентификации.
  • Если вы выбираете объекты JSON, попробуйте вместо этого использовать JSONP request. JQuery поддерживает это. Но вам нужно изменить свой сервис в домене-a, чтобы он возвращал действительные ответы JSONP.

Рад, что это помогло хоть немного.

199
flu

Я работаю в междоменном сценарии. При входе в систему удаленный сервер возвращает заголовок Set-Cookie вместе с Access-Control-Allow-Credentials, установленным в значение true.

Следующий ajax-вызов на удаленный сервер должен использовать этот файл cookie.

Access-Control-Allow-Credentials от CORS позволяет вести междоменную регистрацию. Проверьте https://developer.mozilla.org/En/HTTP_access_control для примеров.

Для меня это похоже на ошибку в JQuery (или, по крайней мере, в следующей версии).

Обновление:

  1. Файлы cookie не устанавливаются автоматически из ответа AJAX (цитата: http://aleembawany.com/2006/11/14/anatomy-of-a-well-designed-ajax-login-experience/ )

    Зачем?

  2. Вы не можете получить значение куки из ответа, чтобы установить его вручную ( http://www.w3.org/TR/XMLHttpRequest/#dom-xmlhttprequest-getresponseheader )

    Я не совсем понимаю..

    Должен существовать способ попросить jquery.ajax() установить параметр XMLHttpRequest.withCredentials = "true".

ОТВЕТ: Вы должны использовать параметр xhrFields из http://api.jquery.com/jQuery.ajax/

Пример в документации:

$.ajax({
   url: a_cross_domain_url,
   xhrFields: {
      withCredentials: true
   }
});

Также важно, чтобы сервер правильно отвечал на этот запрос. Копирование здесь замечательных комментариев от @ Frédéric и @Pebbl:

Important note: when responding to a credentialed request, server must specify a domain, and cannot use wild carding. The above example would fail if the header was wildcarded as: Access-Control-Allow-Origin: *

Так что, когда запрос:

Origin: http://foo.example
Cookie: pageAccess=2

Сервер должен ответить:

Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Credentials: true

[payload]

В противном случае полезная нагрузка не будет возвращена в сценарий. Смотрите: https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS#Requests_with_credentials

355
Kangur

С помощью

xhrFields: { withCredentials:true }

как часть моего вызова jQuery ajax была только частью решения. Мне также нужно было вернуть заголовки в ответе OPTIONS от моего ресурса:

Access-Control-Allow-Origin : http://www.wombling.com
Access-Control-Allow-Credentials : true

Важно, чтобы в заголовке ответа вызова OPTIONS было только one, разрешенное «Origin», а not «*». Я добился этого, прочитав Origin из запроса и вставив его обратно в ответ - возможно, обойдя первоначальную причину ограничения, но в моем случае использования безопасность не имеет первостепенного значения. 

Я подумал, что стоит явно упомянуть требование только для одного Origin, поскольку стандарт W3C допускает разделенный пробелами список, но Chrome нет! http://www.w3.org/TR/cors/ # access-control-allow-Origin-response-header NB Бит "на практике".

46
wombling - Chris Paine

Поместите это в вашу функцию инициализации: 

$.ajaxSetup({
  xhrFields: {
    withCredentials: true
  }
});

Это будет работать.

38
Alex Athlan

На этот вопрос уже есть много хороших ответов, но я подумал, что было бы полезно уточнить случай, когда вы ожидаете, что cookie-файл сеанса будет отправлен, потому что домен cookie-файлов совпадает, но он не отправляется, потому что AJAX делается запрос к другому поддомену. В этом случае у меня есть файл cookie, который назначен домену * .mydomain.com, и я хочу, чтобы он был включен в запрос AJAX для different.mydomain.com ". По умолчанию файл cookie не отправляется. Вам не нужно отключать HTTPONLY в файле cookie сеанса, чтобы решить эту проблему. Вам нужно только сделать то, что предложено вомблинг ( https://stackoverflow.com/a/23660618/545223 ) и делаем следующее.

1) Добавьте следующее в ваш запрос ajax.

xhrFields: { withCredentials:true }

2) Добавьте следующее в заголовки ответа для ресурсов в другом поддомене.

Access-Control-Allow-Origin : http://original.mydomain.com
Access-Control-Allow-Credentials : true
11
munchbit

Попробовав другие решения и все еще не заставив их работать, я выяснил, в чем проблема в моем случае. Я изменил contentType с «application/json» на «text/plain».

$.ajax(fullUrl, {
    type: "GET",
    contentType: "text/plain",
    xhrFields: {
         withCredentials: true
    },
    crossDomain: true
});
4
Janno Teelem

У меня возникла та же проблема, и при некоторых проверках мой сценарий просто не получал cookie-файл sessionid.

По значению cookie-файла sessionid в браузере я выяснил, что мой фреймворк (Django) передавал cookie-файл sessionid с HttpOnly по умолчанию. Это означало, что скрипты не имели доступа к значению sessionid и поэтому не передавали его вместе с запросами. Довольно смешно, что HttpOnly будет значением по умолчанию, когда так много вещей используют Ajax, что потребует ограничения доступа. 

Чтобы исправить это, я изменил настройку (SESSION_COOKIE_HTTPONLY = False), но в других случаях это может быть флаг «HttpOnly» на пути к cookie

3
wiwa

Если вы разрабатываете для localhost или порта на localhost, такого как localhost:8080, в дополнение к шагам, описанным в ответах выше, вам также необходимо убедиться, что вы не передаете значение домена в заголовке Set-Cookie.
Вы не можете установить для домена значение localhost в заголовке Set-Cookie - это неверно - просто опустите домен. 

Смотрите Cookies на локальном хосте с явным доменом и Почему asp.net не создает куки на локальном хосте?

0
jitin

Просто мои 2 цента при установке проблемы с файлом cookie PHPSESSID при работе на локальном хосте и в среде разработки. Я выполняю AJAX вызов моей конечной точки API REST на locahost. Скажите, что его адрес mysite.localhost/api/member/login/ (virtal Host в моей среде разработки).

  • Когда я делаю этот запрос на Почтальон , все идет хорошо, и PHPSESSID устанавливается с ответом.

  • Когда я запрашиваю эту конечную точку через AJAX со страницы прокси-сервера Browsersync (например, из 122.133.1.110:3000/test/api/login.php в адресной строке моего браузера, вижу, что домен отличается от mysite.localhost) PHPSESSID не появляется среди файлов cookie.

  • Когда я делаю этот запрос непосредственно со страницы в том же домене (т.е. mysite.localhost/test/api/login.php), PHPSESSID устанавливается просто отлично.

Таким образом, это проблема с файлами cookie для запросов о происхождении из разных источников, как упоминалось в @flu ответ выше

0
bob-12345