使用 JQuery 1.8.2
我正在向一个 AppServer(Front)到另一个 AppServer(Back)服务器的应用发出 CORS 请求。当我从 Front 进行以下 Ajax 调用时,来自 Back 的 302 响应(安全检查)被接受,但我的 JSESSIONID cookie 没有被存储:
$.ajax({
url : url,
dataType : 'html',
success : function(data, status, xhr) {
$(dataContainer).append(data);
},
complete: function(xhr, status, error) {
if (xhr.status != 200) {
$.logger(xhr.getResponseHeader('Location'));
}
}
});
现在,如果我进行相同的调用,但添加 withCredentials,我的 JSESSIONID 将被正确存储,但 302 重定向将被删除。 Chrome 和 Firefox(两者的最新版本)都只是停止处理请求。
$.ajax({
xhrFields: { withCredentials: true },
url : url,
dataType : 'html',
success : function(data, status, xhr) {
$(dataContainer).append(data);
},
complete: function(xhr, status, error) {
if (xhr.status != 200) {
$.logger(xhr.getResponseHeader('Location'));
}
}
});
我试图从 xhr 对象中获取重定向位置 header ,但它是空的。
我正在对来自Back 的所有回复进行以下设置:
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
response.setHeader("Access-Control-Max-Age", "1728000");
response.setHeader("Access-Control-Allow-Headers", "Cookie,X-Requested-With");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Expose-Headers", "Location");
显然,当/如果我可以让它工作时,我会限制 Origin。
有谁知道使用 JQuery 需要什么?这是一个 JQuery 问题,还是所有 Ajax+CORS 请求的问题?
最佳答案
您不能将 Access-Control-Allow-Origin: * 与 Access-Control-Allow-Credentials: true 结合使用。当Access-Control-Allow-Credentials设置为true时,Access-Control-Allow-Origin的值必须是Origin头的值:
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
或者,您可以删除 Access-Control-Allow-Credentials: true header (连同 withCredentials = true JS 代码)。
关于javascript - JQuery CORS 和重定向,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14531515/