Подтвердить что ты не робот

Set-Cookie в браузере с запросом Ajax через CORS

Попытка реализовать процесс входа/регистрации ajax (без обновления сайта с проверкой подлинности). Использование файлов cookie для сохранения состояния. Я думал, что у меня будет это прямо сейчас, но по какой-то причине браузер не устанавливает файлы cookie после того, как он вернет их с сервера. Может ли кто-нибудь помочь? Вот заголовки запроса и ответа:

Request URL:http://api.site.dev/v1/login
Request Method:POST
Status Code:200 OK

Заголовки запросов

Accept:application/json, text/plain, */*
Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.3
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
Content-Length:57
Content-Type:application/json;charset=UTF-8
Host:api.site.dev
Origin:http://site.dev
Referer:http://site.dev/
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.101 Safari/537.11
withCredentials:true
X-Requested-With:XMLHttpRequest
Request Payload
{"email":"[email protected]","password":"foobar"}

Заголовки ответов

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:X-Requested-With, Content-Type, withCredentials
Access-Control-Allow-Methods:GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin:http://site.dev
Connection:Keep-Alive
Content-Length:19
Content-Type:application/json
Date:Tue, 08 Jan 2013 18:23:14 GMT
Keep-Alive:timeout=5, max=99
Server:Apache/2.2.22 (Unix) DAV/2 PHP/5.4.7 mod_ssl/2.2.22 OpenSSL/0.9.8r
Set-Cookie:site=%2B1THQQ%2BbZkEwTYFvXFVV5fxi00l2K%2B6fvt9SuHACTNsEwUGzDSUckt38ZeDsNbZSsqzHmPMWRLc84eDLZzh8%2Fw%3D%3D; expires=Thu, 10-Jan-2013 18:23:14 GMT; path=/; domain=.site.dev; httponly
X-Powered-By:PHP/5.4.7

Я также вижу файл cookie в хром сетевых инструментах, возвращенный с сервера:

Файлы ответов

Name: site
Value: %2B1THQQ%2BbZkEwTYFvXFVV5fxi00l2K%2B6fvt9SuHACTNsEwUGzDSUckt38ZeDsNbZSsqzHmPMWRLc84eDLZzh8%2Fw%3D%3D
Domain: .site.dev
Path: /
Expires: Session
Size: 196
Http: ✓
4b9b3361

ОТВЕТЫ

Ответ 1

Ваш запрос AJAX должен быть выполнен с настройками "withCredentials", установленными в true (доступно только в XmlHttpRequest2 и выборке):

    var req = new XMLHttpRequest();
    req.open('GET', 'https://api.bobank.com/accounts', true); // force XMLHttpRequest2
    req.setRequestHeader('Content-Type', 'application/json; charset=utf-8');
    req.setRequestHeader('Accept', 'application/json');
    req.withCredentials = true; // pass along cookies
    req.onload = function()  {
        // store token and redirect
        let json;
        try {
            json = JSON.parse(req.responseText);
        } catch (error) {
            return reject(error);
        }
        resolve(json);
    };
    req.onerror = reject;

Если вы хотите получить подробное объяснение по безопасности CORS, API и куки, ответ не вписывается в комментарий StackOverflow. Ознакомьтесь с этой статьей, которую я написал на эту тему: http://www.redotheweb.com/2015/11/09/api-security.html

Ответ 2

У меня была аналогичная проблема, и выяснилось, что в настройках браузера были заблокированы сторонние файлы cookie (Chrome > Настройки > Дополнительные настройки > Конфиденциальность > Настройки содержимого > Блокирование файлов cookie сторонних производителей и данных сайта). Разблокировка решила проблему!