Safari跨站点Ajax调用不存储cookie
基础概念
跨站点Ajax调用(Cross-Site Ajax Calls)是指在一个域名的网页上通过Ajax技术向另一个域名发送请求。Cookie是一种存储在用户浏览器上的小型数据片段,通常用于跟踪用户会话和身份验证。
问题原因
Safari浏览器出于安全考虑,对跨站点请求的Cookie管理有严格的规定。默认情况下,Safari不会存储跨站点请求的Cookie,这是为了防止跨站请求伪造(CSRF)攻击。
解决方法
1. 使用CORS(跨源资源共享)
确保服务器端配置了正确的CORS头,允许来自前端域名的跨域请求。例如,在服务器端设置以下响应头:
Access-Control-Allow-Origin: https://your-frontend-domain.com
Access-Control-Allow-Credentials: true2. 前端设置
在前端代码中,确保在发送Ajax请求时设置了withCredentials属性为true,以便浏览器在跨域请求中包含Cookie。
$.ajax({
url: 'https://your-backend-domain.com/api',
xhrFields: {
withCredentials: true
},
success: function(data) {
console.log(data);
}
});3. 使用JSONP
如果CORS不可行,可以考虑使用JSONP(JSON with Padding)。JSONP通过动态创建<script>标签来实现跨域请求,但这种方法只支持GET请求,并且安全性较低。
function handleResponse(data) {
console.log(data);
}
var script = document.createElement('script');
script.src = 'https://your-backend-domain.com/api?callback=handleResponse';
document.body.appendChild(script);4. 使用代理服务器
在前端和后端之间设置一个代理服务器,前端通过代理服务器发送请求,代理服务器再将请求转发到后端。这样可以避免跨域问题,因为所有请求都在同一个域名下进行。
// 前端代码
$.ajax({
url: '/proxy/api',
success: function(data) {
console.log(data);
}
});
// 代理服务器代码(Node.js示例)
const express = require('express');
const request = require('request');
const app = express();
app.use('/proxy', (req, res) => {
const url = 'https://your-backend-domain.com' + req.url;
req.pipe(request(url)).pipe(res);
});
app.listen(3000, () => {
console.log('Proxy server running on port 3000');
});应用场景
跨站点Ajax调用常用于以下场景:
- 单点登录(SSO):用户在一个域名下登录后,其他域名下的应用也能识别用户的登录状态。
- 数据共享:不同域名下的应用需要共享数据,例如在一个电商网站上查看另一个域名的商品信息。
- 第三方服务集成:集成第三方API,例如地图服务、支付服务等。
参考链接
通过以上方法,可以有效解决Safari浏览器跨站点Ajax调用不存储Cookie的问题。
相关·内容
1回答
假设网站在www.mywebsite.com上,在安装了CPanel的主机服务器上,我的后端在www.mybackend.com下运行 当用户使用网站登录时,它会对后端进行axios/fetch调用。后端将返回www.mywebsite.com域的set-cookie。 虽然Chrome和FF运行良好。Safari不存储cookie,因为它是跨站点cookie。有没有什么简单的方法可以让Safari存储<e
浏览 47提问于2020-07-29得票数 0
3回答
The issue它实现了html5本地存储:
Safari默认不允许第三方cookie(其他浏览器允许)。Safari的隐私偏好如下:默认情况是:“允许我访问网站”。
始终阻止-阻止所有第三方cookie和阻止所有第三方cookie。允许我访问的网站--允许所有第三方cookie,并阻止所有第三方<e
浏览 12提问于2016-07-26得票数 16
回答已采纳
1回答
我正在使用一种基于cookie的身份验证技术来进行web服务身份验证。我在客户端机器上使用加密技术设置Cookie值。以及我在web服务方法中用于身份验证目的的Cookie值。我的疑问是,有没有可能在任何浏览器中通过任何第三方扩展工具编辑cookie值?
浏览 0提问于2014-03-09得票数 1
我们的应用程序使用cookie来记住用户登录。我们进行的每次auth API调用,浏览器都会将服务器设置的HTTPonly cookie附加到API请求中,并进行身份验证。在Mojave发布后,这种行为似乎在safari中被打破了。
我读到了safari实现的跨站点cookie安全性,我们的服务器团队在设置cookie时添加了SameSite=None;Secure。Set-Cookie: my_cookie
浏览 8提问于2019-10-23得票数 36
3回答
我使用Codeigniter1.7.2和库来处理会话并将它们存储在数据库中。我正在开发的应用程序由一个充当服务的域(带有CI的域)组成(不知道这是不是正确的术语)。其他站点包含来自该域的JavaScript文件,并从那里向CI域发出AJAX调用。如果站点没有会话id,CI域将返回从该调用创建的会话id,然后站点上的JS使用该会话id设置cookie。从那时起,如果站点对CI域进行任何调用,它都会包括该会话id,以便标
浏览 2提问于2010-11-17得票数 2
回答已采纳
1回答
弹簧安全交叉原点
、、、
此外,我尝试调试它,并且在getWhoAmI中,身份验证是null (仅当我在JavaScript中调用它时,在postman中它包含经过身份验证的用户)。, HttpStatus.OK);}$.ajax
浏览 1提问于2019-12-06得票数 1
回答已采纳
有没有什么变通方法可以让我保持启用“防止跨站跟踪”选项(默认情况下,这样每个用户都会打开它),并从我的后端api发出CORS cookie,该api位于与我的angular应用程序不同的域上?我的应用程序流程如下: 1.用户登录2.服务器进行身份验证,发出JWT,并将JWT存储在HttpOnly cookie中3.所有angular请求都具有{withCredentials: true}
这在然而,当我尝试登录Safari iOS和mac Safari时,cookie既
浏览 23提问于2019-07-10得票数 12
1回答
外部站点将放置一个iframe到我们的站点(ZZZ.com/ourAdContent.html),我们将在这个框架中显示一些广告。问题是,即使iframe位于单独的域上,我们的iframe是否也可以访问属于我们域的cookie?
浏览 0提问于2012-11-28得票数 12
回答已采纳
1回答
相同来源的政策解决方案
、、、
我看到了跨域ajax调用的安全风险,自动发送到目标跨域。来自:
虽然这是真的,但JavaScript没有直接访问银行会话cookie的权限,但它仍然可以使用银行站点的会话cookie发送和接收对银行站点的请求,这实际上是银行站点的正常用户。
浏览 2提问于2016-05-21得票数 0
2回答
存储在浏览器中,但不会在随后的跨站点web请求中发送。当我尝试在没有Expires日期的情况下设置cookie时,就会发送cookie,但是只有在浏览器打开时才会将它存储在浏览器中(会话cookie)。var xmlHttp = new XMLHttpRequest();
xmlHttp.open("GET", url, true)
浏览 3提问于2019-03-01得票数 3
回答已采纳
我在中部署了身份服务器,在中部署了客户机UI
我尝试了很多堆栈溢出问题,其中我列出的问题很少供你参考。
浏览 5提问于2017-08-14得票数 0
回答已采纳
3回答
在不同域中登录用户
、、、
两年前,我不得不设计一个跨多个域共享身份验证数据的系统,所有这些域都共享相同的服务器/数据库。我通过一个复杂的cookie共享系统做到了这一点,到目前为止,这个系统仍然有效。我现在正在重新设计系统,我想知道是否有更好的方法来实现这一点,而不必编写跨域cookie。据我所知,实现这一点的唯一方法是跨域cookie,
浏览 7提问于2010-10-14得票数 2
我正在从localhost:8090调用ajax GET,如下所示: $.ajax({ console.log('Session not found'); }); 由于这是一个Okta调用,因此它需要随请求一
浏览 16提问于2020-05-02得票数 0
在针对Safari11SDK进行编译时,WKWebView的默认cookie接受策略似乎已经更改,就像用户在iOS中启用了等效的“防止跨站点跟踪”选项一样。我需要跨站点cookies在WKWebView中工作。有谁知道启用此功能的方法吗?
浏览 0提问于2017-11-15得票数 2
1回答
我有一个aspx,它有WebMethod,我从其他aspx页面通过jquery $.ajax调用来调用它。如何保护我的aspx,使其只能从我的页面访问,而不能从其他应用程序访问?
浏览 0提问于2016-03-06得票数 0
我注意到,当使用safari/ios将物品放在购物车中时,它们就不会出现。手推车曲奇还没准备好。它由重定向页设置。我看到了关于safari没有设置cookie和重定向的问题,但是如果我取出重定向,它仍然没有被设置。以下是代码:<!/www.THESITE.com/forward-to-ttf-cart.html">click here</a></body></html>我想也许setTimeout会允许它工作,但
浏览 3提问于2015-01-13得票数 1
回答已采纳
该应用程序由两个部分组成,主域和子域,每个子域都有自己的专用服务器(子域服务器可以调用主域服务器,而不是相反的方式)。在应用程序负载上,主域服务器处理设置SID cookie的身份验证。Safari 14与以前的Safari版本(或任何其他浏览器)的不同之处在于,后续对子域服务器的调用都没有任何 cookie集。相反(并且是正确的),与主域相反的请求都有预期的cookie。当我检查两个域的cookie存储时,我可以看到:
主域<e
浏览 0提问于2020-10-06得票数 4
1回答
如何设置跨站点cookies?(Please, see screen shot)了解paddle.com如何在niceverynice.com上拥有cookies?这就是我正在努力实现的目标。
浏览 93提问于2020-11-07得票数 0
我有一个主要的网站(网站A)与一个网页,其中包含一个iframe,显示从另一个网站(站点B) (我们的)的信息。
另一个网站(站点B)页面中的内容是基于网站B上的cookie设置的。然而,在(站点A)上的一个页面上的iframe中加载充满cookie的站点没有显示任何信息。我可以显示不依赖cookie但不需要访问cookie的任何内容的简单文本。
浏览 4提问于2021-07-17得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
