• 跨域问题(续)


    此贴接上贴实践解决跨域问题的三种方式剖析

    今天继续做我的schub项目的时候,遇到了苦恼我一天的问题,expresss-session没有持久化,我在后端把登录的状态存在req的session里,下次发post的时候再发请求的时候req.session里面存的用户的状态的字段没了。

    我上次用到express-session的时候还是做得那个微博系统,前后端杂糅的项目(node+ejs),那时候就没遇到这个问题,后来排查这个问题的时候,google 网上有关express-session的项目,发现这些项目全是前后端在一起的架构,然后我就意识到一个问题,前后端在一起域名和端口都是一致的,当前后端分离在本地调试的时候,我处理了很多跨域问题,那么现在,是不是由跨域问题引起的。

    我本地打印调试了fetch发送的请求,(因为跨域每次请求发了一个option),发现每次的session都是新的,sessionId不同,那么怎么保持session会话一致呢。

    后来差文档,发现:

    对于跨域 XMLHttpRequest 或 Fetch 请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置 XMLHttpRequest 的某个特殊标志位。对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。
    

    用了Access-Control-Allow-Credentials: true,就不能设置Access-Control-Allow-Origin:'*'了。所以可以设置,当A用户进来的时候,我们设置A用户为白名单就好,同理B用户也是。也就是说,谁访问就把谁的域设置为白名单就可以了。

    Access-Control-Allow-Origin: <origin> | *
    

    所以我的处理一般是:

    app.all('/*', (req, res, next) => {
      res.setHeader('Access-Control-Allow-Origin', req.headers && req.headers.origin ? req.headers.origin : '*');
      res.setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, PATCH, DELETE');
      res.setHeader('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept, Connection, User-Agent, Cookie, Authorization');
      res.setHeader('Access-Control-Allow-Credentials', true);
      //post请求之前,会发送一个options的跨域请求
      if (req.method === 'OPTIONS') {
        res.sendStatus(200);
      } else {
        next()
      }
    })
    

    由于前端react里面请求是fetch发送的,fetch的原理就是xhr+promise,
    那么fetch肯定也有这么一个维持身份凭证的消息头,
    这里写图片描述

    看MDN:

    XMLHttpRequest.withCredentials  属性是一个Boolean类型,它指示了是否该使用类似cookies,authorization headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个跨站点访问控制(cross-site Access-Control)请求。在同一个站点下使用withCredentials属性是无效的。
    
    此外,这个指示也会被用做响应中cookies 被忽视的标示。默认值是false。
    
    如果在发送来自其他域的XMLHttpRequest请求之前,未设置withCredentials 为true,那么就不能为它自己的域设置cookie值。而通过设置withCredentials 为true获得的第三方cookies,将会依旧享受同源策略,因此不能被通过document.cookie或者从头部相应请求的脚本等访问。
    

    三点信息:
    1.跨域访问中,只有带上withCredentials=true才会允许跨域的请求中带上自己cookie,(authorization)而cookie中是存有sessionId的,所以也是保持会话一致的前提。
    2.同域名下的这个参数是无效的。
    3.通过这种方法携带的cookie依然受同源策略的限制,我们不能直接通过前端手段或者脚本访问到改cookie。

    所以我在react前端把所有的fetch的options中加上

    credentials: 'include',
    

    即可。此时发现每次fetch请求的session是同一个了。

  • 相关阅读:
    [学习笔记] 网络最大流的HLPP算法
    [学习笔记] LCT 初步
    js中函数的原型及继承
    关于js中函数的一点总结
    关于css实现水平及垂直居中的方法记录
    js基础总结03 --操作数组
    近期学习es6后对变量提升及let和const的一点思考
    用css和js实现侧边菜单栏点击和鼠标滑动特效
    用css或js实现文本输入框的特效
    Jmeter怎样打印日志
  • 原文地址:https://www.cnblogs.com/zhangmingzhao/p/9448265.html
Copyright © 2020-2023  润新知