我目前在需要使用httpOnly cookie的项目中。该项目需要直接调用API。
假设是对xxx.com/vx/auth/login
用户登录尝试进行身份验证。该端点将给客户端响应并设置cookie。像这样:
Set-Cookie:token=eyJ0b2tlbiI6ImV5SmhiR2NpT2lKSVV6STFOaUlzSW5SNWNDSTZJa3BYVkNKOS5leUoxYVdRaU9pSXhNREEwT0RJd05DSXNJbDlwWkNaNkluWXhYM1Z6WlhKekx6RXdNRFE0TWpBMElpd2libUZ0WlNJNklrRm5kVzVuSUZOMWNubGhJRUpoYm1kellTSXNJbVZ0WVdsc0lqb2ljR0ZwYm1GdVpHVnpkR2x1WldSQWVXRm9iMjh1WTI5ddlpd2liR1YyWld3aU9qQXNJbWxoZENJNk1UUTNOek0zTVRnMk55d2laWGh3SWpveE5EYzNOVFEwTmpZc2ZRLmtUN0IzNW9YYjQ2RmU3WWFLYkd4MXhoYkdGUWJ1TFg1U053N3FWSjNfa2siffQ==; expires=Thu, 27 Oct 2016 05:04:27 GMT; path=/; HttpOnly
但是当我查看时devtools
,未设置cookie。即使在刷新几次之后。
我在这里想念什么?我需要创建一个代理来处理吗?*我曾经使用代理,并且效果很好
我终于设法与后端工程师一起解决了这个问题:
Access-Control-Allow-Credentials: true
在请求中,我设置withCredentials
为true
。
注意:如果设置withCredentials
为true
,则还必须设置Access-Control-Allow-Credentials
为true
。另外,如果您仍在中使用通配符,则此操作将无效Access-Control-Allow-Origin
。