请记住,这个问题是针对
HttpOnlytrue我很确定我的问题的答案是否定的,但我一直很难通过官方文档或此处的其他帖子找到答案。这是某些上下文的简单用例:
api.domain.com/api/auth/login/app.domain.comusernamepasswordaccessrefreshapp.domain.comapi.domain.comaccessapi.domain.com/api/auth/refresh/access我通常在同一个子域 (
app.domain.com/api/*有人可以帮我确认实际上不可能在
app.domain.comapi.domain.com搜索
set httpOnly cookie across subdomainshttps://owasp.org/www-community/HttpOnly
https://learn.microsoft.com/en-us/previous-versions//ms533046(v=vs.85)?redirectedfrom=MSDN
这是可能的。事实上,我刚刚做到了。
在您的前端,使用 Axios:
const baseURL = 'https://api.example.com';
const api = axios.create({
baseURL,
withCredentials: true,
});
在您的后端,使用 Express:
app.use(
cors({
origin: 'https://www.example.com',
credentials: true,
}),
);
app.post('/login', async (req, res) => {
res.cookie('someCookie', someCookieValue, {
secure: true,
domain: 'example.com',
httpOnly: true,
});
});
所以在我花了一天时间解决这个问题之后,我将结束这篇文章的尝试。 跨域 Cookies
我终于明白了,很多人都在谈论将 cookie 从 PageA 中的 PageB 发送到 PageA 的解决方案。但这不是我要找的。所以在这篇文章中,对我来说,得票最多的答案是不正确的,但接下来的答案让我更清楚了。
我认为理解我们想要什么是关键,我试图将 Cookie 从 PageB 中的 PageB 发送到 PageA。这似乎是不可能的。 (我只谈论 http cookies。)。如果这不正确,我很高兴得到一个解决方案,但另一方面,从安全的角度来看,它也没有任何意义。