访问后端在另一个域上设置的 cookie
Accessing cookie set by back-end on another domain
如果我的后端在 abc.com 上,并在 xyz.com 上的前端设置一个 cookie,那么我无法使用 document.cookie 访问前端上的 cookie,是这个问题有解决方法吗?
没有
如果可能,那么 Evil-Hacker.com 就可以从 Your-Bank.com 读取 cookie 并获得对您银行帐户的访问权限。
仅当 cookie 的 Domain 参数与试图读取它们的页面域的一部分匹配时,才可以直接访问 cookie。 (例如 foo.example.com 可以读取 example.com 的 cookie 集)。顶级域(如 .com)不在此列。
设置了 withCredentials 标志的 Ajax 请求可以向提供 cookie 的域发出请求(这需要通过 CORS 和飞行前许可)。然后,该域上的服务器端脚本可以读取 cookie 并将其回显到 JS 可以读取的响应正文中。显然这需要cookie所属的域通过提供这样的网络服务来合作。
如果我的后端在 abc.com 上,并在 xyz.com 上的前端设置一个 cookie,那么我无法使用 document.cookie 访问前端上的 cookie,是这个问题有解决方法吗?
没有
如果可能,那么 Evil-Hacker.com 就可以从 Your-Bank.com 读取 cookie 并获得对您银行帐户的访问权限。
仅当 cookie 的 Domain 参数与试图读取它们的页面域的一部分匹配时,才可以直接访问 cookie。 (例如 foo.example.com 可以读取 example.com 的 cookie 集)。顶级域(如 .com)不在此列。
设置了 withCredentials 标志的 Ajax 请求可以向提供 cookie 的域发出请求(这需要通过 CORS 和飞行前许可)。然后,该域上的服务器端脚本可以读取 cookie 并将其回显到 JS 可以读取的响应正文中。显然这需要cookie所属的域通过提供这样的网络服务来合作。