希望这很容易回答。
使用XHR2中的凭证请求,发送哪些Cookie?
我一直在关注the MDN article on credentialed requests,并显示Cookie pageAccess=2随请求一起发送。但是,它没有解释cookie的来源,以及为什么要专门发送cookie。仅仅是页面设置的所有cookie都是在任何凭证请求中发送的吗?
答案 0 :(得分:3)
来自CORS上的HTML5 Rocks页面:
.withCredentials属性将包含来自请求中远程域的任何cookie,并且还将设置来自远程域的任何cookie。
我认为“任何cookie”意味着“所有cookie”(可能受cookie上的仅HTTPS标志),因为没有机制用XHR2指定cookie。
发送的Cookie是由远程域设置的Cookie :如果foo.com向bar.com发送请求凭证请求,则由{设置}的任何Cookie {1}}已发送。实际上,假设bar.com具有CORS感知API,需要您登录才能使用。我之前在浏览器会话中登录过Facebook,但现在我正在浏览facebook.com,它将代表我使用Facebook的API。 foo.com要求ebrowser向foo.com 发送跨域请求以及我的所有facebook.com Cookie ,以便Facebook知道我是谁以及我已经知道通过Facebook验证。