如何解决来自子域A的Cookie未发送到子域B
我有一个托管在dev.subdomain.mydomain.com上的前端Angular应用程序。该应用程序向dev.api.mydomain.com上托管的.net CORE API发出HTTP请求。我的角度应用程序具有与之关联的会话cookie,该会话cookie具有以下安全属性:
Secure=true
HttpOnly=true
SameSite=None
Domain=.mydomain.com
我希望在每次请求时都将cookie发送到后端服务器,但由于某种原因,请求会在没有cookie的情况下发送。
我添加了一个角度拦截器,将withCredentials选项添加到外发请求中
req = req.clone({
headers: req.headers.set('Content-Type','application/json'),withCredentials: true
});
但是那也没有帮助。在Chrome和Firefox中进行了测试,结果相同。
Update:我注意到cookie确实是在初始的http请求上发送的(去服务器获取有角度的应用程序),但是使用httpClient的ajax请求却没有与cookie一起发送
Update 2:我已经设置了我的API,以便在飞行前响应中包含以下标头:
Access-Control-Allow-Origin: https://dev.subdomain.mydomain.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type,withcredentials
Access-Control-Allow-Methods: GET
仍然没有发送Cookie。
解决方法
如果前端和API均位于*.mydomain.com下,则它们应计为同一站点,这意味着SameSite=Lax应该没问题。
如果您查看Chrome开发者工具,则“问题”标签应告诉您任何受SameSite默认设置影响或没有正确设置属性的Cookie。
在“网络”选项卡中,如果您选择一个单独的请求,那么您也可以在其中查看Cookies子面板,并启用“显示过滤出的请求Cookies”以显示哪些cookie被删除。将鼠标悬停在它们上面还将提供说明原因的工具提示。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。