我的应用程序有一个 PHP 服务器和一个客户端(一个 JS 单页应用程序)。它们是独立的项目,部署在不同的域中。客户端使用服务器公开的 RESTful API。
此应用程序将与处理身份验证的第三方集成,因此用户无法直接登录。我们的服务器刚刚收到一个 SSO token (经过适当签名,以便我们验证其完整性)。
我们还在传输层为所有请求强制实现安全措施。
我想做的是,一旦验证了 SSO token ,就启动我自己的 session ,然后将用户重定向到客户端。我认为一旦创建了 session ,浏览器就会在异步 API 调用中自动发送正确的 Cookie header ,但事实并非如此。
这是出于安全原因故意禁用的吗?
最佳答案
您必须设置 withCredentials
对包含 cookie 的跨源 XHR 请求为 true
。
CORS 响应还必须显示 Access-Control-Allow-Credentials: true
(这就是 widthCredentials
默认为 false
的原因)。
关于php - 带有 session /cookie 的 CORS 请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34968258/