我在使用 Firefox 时遇到问题,而 Chrome 工作正常。这是情况:
客户端发送:
Origin: https://website1.com
服务器返回:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: *
Access-Control-Allow-Methods: *
Access-Control-Allow-Origin: https://website1.com
Access-Control-Expose-Headers: *
Set-Cookie: ...
关于 CORS,我还缺少什么?
谢谢!
最佳答案
Access-Control-Allow-Credentials: true
是一个特殊的标志。如果一方声明,另一方也必须声明,否则安全失败,浏览器将不接受数据。
因此,将相同的 header 添加到客户端请求中。 (或者,如果您控制服务器,请考虑不使用 cookie 并使用其他机制传递数据)
关于即使所有 CORS 允许,Firefox 也不会保留跨域发送的 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49591535/