添加链接 注册    登录
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
拉风的勺子  ·  WebView - .NET MAUI | ...·  4 周前    · 
刚失恋的打火机  ·  配置步骤 2:配置 ASP.NET 设置 ...·  3 周前    · 
讲道义的毛豆  ·  尝试通过Set-Cookie标头设置Cook ...·  5 天前    · 
酷酷的海豚  ·  Set-Cookie - HTTP | MDN·  5 天前    · 
欢快的茶叶  ·  Advanced Configuration·  4 月前    · 
鬼畜的领结  ·  江苏省人民政府 第十期 ...·  5 月前    · 
大鼻子的电池  ·  天圆地方:天地天珠_图案·  5 月前    · 
没读研的小蝌蚪  ·  2015年 第7期·  5 月前    · 
越狱的人字拖  ·  海信家电:海信宽带多媒体技术(BVI)公司和 ...·  5 月前    · 
link管理  ›  クロスサイト、AjaxのレスポンスでのCookie設定ができない場合に確認すること #Ajax - Qiita
ajax cookie
https://qiita.com/y_tochukaso/items/78972e0e2917bb11fa10
体贴的柿子
10 月前
35
16

More than 1 year has passed since last update.

@ y_tochukaso

クロスサイト、AjaxのレスポンスでのCookie設定ができない場合に確認すること

Last updated at Posted at 2020-07-09
やりたかったこと

以下の条件を満たすアプリケーションでCookieを設定したい
- フロントサイト(ブラウザのナビゲーションバー)のURLとバックエンドのURLが異なる
- フロントサイトからはAjaxによるリクエストを送信し、サーバーは REST API を返却するSPAアプリケーションの構成

発生した(解決したかった)現象

Ajaxリクエストのレスポンスで Cookie が設定できない。
Chrome のデベロッパーツールを使用しても特にエラーは出力されないが、なぜか Cookie が設定されない。

時間のない方は結論の部分だけ設定してみて下さい。
以下を設定することでクロスサイトでCookieを設定する事ができる

  • フロントアプリケーションの設定 XMLHttpRequest.withCredentials true を設定する[^1]
  • バックエンドアプリケーションの設定
  • レスポンスヘッダーに access-control-allow-credentials true を設定する[^2]
  • レスポンスヘッダーに access-control-allow-origin でフロントアプリケーションのURLを設定する[^3]
  • ['localhost:4000', "*"]の様な値でOK。ワイルドカードのみではいけない
  • Cookieを設定する際に SameSite ポリシーを None にする[^5]

    • XMLHttpRequestは 別のドメインからのCookieをデフォルトでは受付けていません。
    ただし、withCredentialsにtrueを設定している場合、Cookieを受け付けることが出来ます。
    また、この設定は同じサイトのリクエストには影響を与えません。
    なので、開発環境だけクロスサイトになる様な環境でも特に考慮せずに利用できます。

    Mozillaの解説
    XMLHttpRequest from a different domain cannot set cookie values for their own domain unless withCredentials is set to true before making the request

    access-control-allow-credentials[^2]

    リクエストに Credentials の設定が含まれている場合に、レスポンスを JavaScript に教えるかどうかを指示するもの

    access-control-allow-origin[^3]

    指定されたOriginからのリクエストを受け付けることが出来るかを表すもの
    ただし、ワイルドカードを指定した場合は Credentials の設定はサポートされない[^4]

    SameSite policy[^5]
  • モダンブラウザーのdefaultのポリシー
  • 以下の何れかの場合にCookieの送信が許可される
  • トップレベルナビゲーション(ブラウザーのナビゲーションバー)と同一の場合
  • GETリクエストの場合

    • 今回実験している中で分かったこととしては、サブドメインの場合に Strict を設定してもブラウザーにCookieを設定することは出来る。また、Cookieの送信も行われる。
    トップレベルナビゲーションのURLとDomainが異なる場合、 None のポリシーの場合しかCookieを設定することは出来ない。
    Lax Strict はクロスサイトではブラウザーにCookieを設定することができないポリシーとなる。

    [^1] https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/withCredentials
    [^2] https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials
    [^3] https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin
    [^4] https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/CORSNotSupportingCredentials
    [^5] https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

    35
    16
    0

    Register as a new user and use Qiita more conveniently

    1. You get articles that match your needs
    2. You can efficiently read back useful information
    3. You can use dark theme
    What you can do with signing up
    Sign up Login
    35
    16
     
    推荐文章
    拉风的勺子  ·  WebView - .NET MAUI | Microsoft Learn
    4 周前
    刚失恋的打火机  ·  配置步骤 2:配置 ASP.NET 设置 | Microsoft Learn
    3 周前
    讲道义的毛豆  ·  尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有“Secure“属性,但未通过安全连接发送_this attempt to set a cookie
    5 天前
    酷酷的海豚  ·  Set-Cookie - HTTP | MDN
    5 天前
    欢快的茶叶  ·  Advanced Configuration
    4 月前
    鬼畜的领结  ·  江苏省人民政府 第十期 省政府办公厅关于印发江苏省“十一五”环境保护和生态建设规划的通知
    5 月前
    大鼻子的电池  ·  天圆地方:天地天珠_图案
    5 月前
    没读研的小蝌蚪  ·  2015年 第7期
    5 月前
    越狱的人字拖  ·  海信家电:海信宽带多媒体技术(BVI)公司和海信家电无股权关系_腾讯新闻
    5 月前
    Link管理   ·   51好读   ·   Sov5搜索   ·   小百科
    link管理 - 链接快照平台