为什么jquery的.ajax（）方法不发送我的会话cookie？

#1 楼

如果您所调用的url与您的调用脚本位于同一域中，则AJAX调用仅发送Cookie。

这可能是跨域问题。

也许您尝试当您的调用脚本位于www.domain-a.com上时，请从www.domain-b.com调用url（换句话说：您进行了跨域调用，在这种情况下浏览器将不会发送任何cookie来保护您的隐私）。

如果您的选择是：


编写一个小的代理，该代理驻留在domain-b上并将您的请求转发到domain-a。您的浏览器将允许您调用代理，因为它与调用脚本位于同一服务器上。然后您可以将其配置为接受可以发送到domain-a的cookie名称和值参数。但是要使其正常工作，您需要知道cookie的名称和服务器在域上的值-要进行身份验证。
如果要获取JSON对象，请尝试使用JSONP请求。 jQuery支持这些。但是您需要更改domain-a上的服务，以便它返回有效的JSONP响应。

有点帮助的话很高兴。

#2 楼

我在跨域情况下进行操作。登录期间，远程服务器将返回Set-Cookie标头，并将Access-Control-Allow-Credentials设置为true。

对远程服务器的下一个ajax调用应使用此cookie。

CORS的Access-Control-Allow-Credentials在那里允许跨域日志记录。请查看https://developer.mozilla.org/zh-CN/HTTP_access_control以获取示例。

对我来说，这似乎像是JQuery中的错误（或者至少是下一版本中的功能）。

更新：



不会根据AJAX响应自动设置Cookie（引用：http://aleembawany.com/2006/11/14/anatomy -of-a-designed-ajax-login-experience /）

为什么？


您无法从响应中获取cookie的值来进行设置手动（http://www.w3.org/TR/XMLHttpRequest/#dom-xmlhttprequest-getresponseheader）

我很困惑。.

应该存在一种方法要求jquery.ajax()设置XMLHttpRequest.withCredentials = "true"参数。


ANSWER：
您应该使用http://api.jquery.com/jQuery.ajax/
的xhrFields参数
文档中的示例为：

$.ajax({
   url: a_cross_domain_url,
   xhrFields: {
      withCredentials: true
   }
});

服务器正确响应此请求也很重要。在此处复制@Frédéric和@Pebbl的精彩评论：

Important note: when responding to a credentialed request, server must specify a domain, and cannot use wild carding. The above example would fail if the header was wildcarded as: Access-Control-Allow-Origin: *

所以当请求是：

Origin: http://foo.example
Cookie: pageAccess=2

>服务器应使用以下命令响应：

Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Credentials: true

[payload]

否则，有效负载将不会返回到脚本。请参阅：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS#Requests_with_credentials

#3 楼

在我的jQuery ajax调用中使用

xhrFields: { withCredentials:true }

只是解决方案的一部分。我还需要从我的资源的OPTIONS响应中返回标头：

Access-Control-Allow-Origin : http://www.wombling.com
Access-Control-Allow-Credentials : true

重要的是，在响应的标头中只有一个允许的“来源” OPTIONS呼叫而不是“ *”。我通过读取请求中的来源并将其填充回响应中来实现这一目的-可能绕过了限制的原始原因，但是在我的用例中，安全性不是最重要的。

我认为值得一提的是仅要求一个来源，因为W3C标准确实允许使用空格分隔列表-但Chrome不允许！
http：//www.w3 .org / TR / cors /＃access-control-allow-origin-response-header
“在实践中”位。

#4 楼

将其放在您的init函数中：

$.ajaxSetup({
  xhrFields: {
    withCredentials: true
  }
});

它将起作用。

#5 楼

对于这个问题已经有很多好的回答，但是我认为澄清一下由于cookie域匹配而希望发送会话cookie的情况可能会有所帮助，因为AJAX请求是被设置到另一个子域。在这种情况下，我有一个分配给* .mydomain.com域的cookie，并且希望将它包含在对different.mydomain.com的AJAX请求中。”默认情况下，不会发送该cookie。您无需禁用会话cookie上的HTTPONLY即可解决此问题，只需执行建议的摇晃操作（https://stackoverflow.com/a/23660618/545223），然后执行以下操作即可。

1）将以下内容添加到您的ajax请求中。

xhrFields: { withCredentials:true }

2）将以下内容添加到您的响应头中，以获取不同子域中的资源。

Access-Control-Allow-Origin : http://original.mydomain.com
Access-Control-Allow-Credentials : true

#6 楼

在尝试了其他解决方案并且仍然无法使之工作之后，我发现了我的问题所在。我将contentType从“ application / json”更改为“ text / plain”。

$.ajax(fullUrl, {
    type: "GET",
    contentType: "text/plain",
    xhrFields: {
         withCredentials: true
    },
    crossDomain: true
});

#7 楼

我遇到了同样的问题，做了一些检查，我的脚本只是根本没有获得sessionid cookie。

我通过查看浏览器中我的框架（Django）正在传递的sessionid cookie值来弄清楚默认为HttpOnly的sessionid cookie。这意味着脚本无法访问sessionid值，因此不会将其与请求一起传递。荒谬的是，当许多东西使用Ajax且需要访问限制时，HttpOnly将成为默认值。

要解决此问题，我更改了设置（SESSION_COOKIE_HTTPONLY = False），但在其他情况下，它可能是cookie路径上的“ HttpOnly”标志

#8 楼

如果要在localhost或localhost上的端口（例如localhost:8080）上进行开发，则除了上述答案中描述的步骤外，还需要确保未在Set-Cookie标头中传递域值。
您不能在Set-Cookie标头中将域设置为localhost-这是不正确的-仅忽略域。

请参阅具有显式域的localhost上的cookie，为什么asp.net不能在localhost中创建cookie？

#9 楼

在本地主机和开发环境下，仅花2美分就可以设置PHPSESSID Cookie。我在locahost上对我的REST API端点进行了AJAX调用。说它的地址是mysite.localhost/api/member/login/（在我的开发环境中是虚拟主机）。


当我在Postman上执行此请求时，一切正常，并且在响应中设置了PHPSESSID。
当我通过Browsersync代理页面通过AJAX请求此终结点（例如，从我的浏览器地址行中的122.133.1.110:3000/test/api/login.php，请参阅域与mysite.localhost之间的域不同）PHPSESSID不会出现在cookie中。
当我直接从该页面上发出此请求时设置相同的域（即mysite.localhost/test/api/login.php）PHPSESSID就可以了。

所以这是一个跨域起源请求cookie问题，如上面@flu回答中所述

#10 楼

添加我的方案和解决方案以防其他人使用。使用RESTful API时遇到类似情况。我托管HTML / Script / CSS文件的Web服务器和Application Server公开API托管在同一域中。
但是路径不同。


Web服务器-mydomain / webpages / abc.html



使用abc.js进行设置名为mycookie的cookie


应用程序服务器-mydomain / webapis / servicename。


对其进行api调用的

我原本以为mydomain / webapis / servicename中的cookie并尝试读取它，但是没有发送。
从答案中读取评论后，我检查了浏览器的开发工具，
mycookie的路径设置为“ / webpages”，因此在对


mydomain / webapis / servicename


的服务调用中不可用，因此从jquery设置cookie时，这就是我做到了-

$.cookie("mycookie","mayvalue",{**path:'/'**});

#11 楼

也许不是100％回答这个问题，但是我偶然发现了这个线程，希望当从anovastudio编辑器的assetmanager进行ajax发布文件上传时解决会话问题。
最终，解决方案很简单：它们具有闪存功能-上载器。禁用它（在asset.php中设置

var flashUpload = false;   

），然后指示灯又开始闪烁。

因为这些问题很难调试我发现在上传处理程序中添加以下内容将使您（在这种情况下为我）设置在正确的轨道上：

$sn=session_name();
error_log("session_name: $sn ");

if(isset($_GET[$sn])) error_log("session as GET param");
if(isset($_POST[$sn])) error_log("session as POST param");
if(isset($_COOKIE[$sn])) error_log("session as Cookie");
if(isset($PHPSESSID)) error_log("session as Global");

深入了解日志然后我很快发现了丢失的会话，没有发送Cookie。