सीओआरएस

Question

के माध्यम से अजाक्स अनुरोध के साथ ब्राउज़र पर सेट-कुकी एक AJAX लॉगिन/साइनअप प्रक्रिया को लागू करने का प्रयास (प्रमाणीकरण के साथ कोई ताज़ा साइट नहीं)। राज्य संरक्षण के लिए कुकीज़ का उपयोग करना। मैंने सोचा कि मुझे अभी तक यह अधिकार होगा लेकिन किसी कारण से ब्राउजर सर्वर से वापस आने के बाद कुकीज़ सेट नहीं करता है। क्या कोई मदद कर सकता है? यहाँ अनुरोध और प्रतिक्रिया हेडर हैं:

Request URL:http://api.site.dev/v1/login 
Request Method:POST 
Status Code:200 OK 

अनुरोध हेडर

Accept:application/json, text/plain, */* 
Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.3 
Accept-Encoding:gzip,deflate,sdch 
Accept-Language:en-US,en;q=0.8 
Connection:keep-alive 
Content-Length:57 
Content-Type:application/json;charset=UTF-8 
Host:api.site.dev 
Origin:http://site.dev 
Referer:http://site.dev/ 
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.101 Safari/537.11 
withCredentials:true 
X-Requested-With:XMLHttpRequest 
Request Payload 
{"email":"calvinfroedge@gmail.com","password":"foobar"} 

प्रतिक्रिया हेडर

Access-Control-Allow-Credentials:true 
Access-Control-Allow-Headers:X-Requested-With, Content-Type, withCredentials 
Access-Control-Allow-Methods:GET, POST, PUT, DELETE, OPTIONS 
Access-Control-Allow-Origin:http://site.dev 
Connection:Keep-Alive 
Content-Length:19 
Content-Type:application/json 
Date:Tue, 08 Jan 2013 18:23:14 GMT 
Keep-Alive:timeout=5, max=99 
Server:Apache/2.2.22 (Unix) DAV/2 PHP/5.4.7 mod_ssl/2.2.22 OpenSSL/0.9.8r 
Set-Cookie:site=%2B1THQQ%2BbZkEwTYFvXFVV5fxi00l2K%2B6fvt9SuHACTNsEwUGzDSUckt38ZeDsNbZSsqzHmPMWRLc84eDLZzh8%2Fw%3D%3D; expires=Thu, 10-Jan-2013 18:23:14 GMT; path=/; domain=.site.dev; httponly 
X-Powered-By:PHP/5.4.7 

मैं भी, क्रोम नेटवर्क उपकरणों में कुकी को देखने के रूप में से लौटे सर्वर:

रिस्पांस कुकीज़

Name: site 
Value: %2B1THQQ%2BbZkEwTYFvXFVV5fxi00l2K%2B6fvt9SuHACTNsEwUGzDSUckt38ZeDsNbZSsqzHmPMWRLc84eDLZzh8%2Fw%3D%3D 
Domain: .site.dev 
Path:/
Expires: Session 
Size: 196 
Http: ✓ 

Answer 1

आपका AJAX अनुरोध सही पर सेट "withCredentials" सेटिंग्स (XMLHttpRequest2 में ही उपलब्ध हैं और लाने के) के साथ किया जाना चाहिए जवाब एक StackOverflow टिप्पणी में फिट नहीं है। इस लेख को मैंने इस विषय पर लिखा है: http://www.redotheweb.com/2015/11/09/api-security.html

Answer 2

मैं एक समान समस्या थी, और यह पता चला कि ब्राउज़र सेटिंग्स तृतीय पक्ष कुकी अवरुद्ध किया गया (क्रोम> सेटिंग> उन्नत सेटिंग> गोपनीयता> सामग्री सेटिंग> तृतीय-पक्ष कुकीज़ और साइट डेटा)। अनब्लॉकिंग समस्या हल हो गई! ,

var req = new XMLHttpRequest(); 
    req.open('GET', 'https://api.bobank.com/accounts', true); // force XMLHttpRequest2 
    req.setRequestHeader('Content-Type', 'application/json; charset=utf-8'); 
    req.setRequestHeader('Accept', 'application/json'); 
    req.withCredentials = true; // pass along cookies 
    req.onload = function() { 
     // store token and redirect 
     let json; 
     try { 
      json = JSON.parse(req.responseText); 
     } catch (error) { 
      return reject(error); 
     } 
     resolve(json); 
    }; 
    req.onerror = reject; 

आप CORS, एपीआई सुरक्षा, और कुकीज़ पर एक विस्तृत विवरण चाहते हैं: