Ich versuche, etwas vermeintlich einfach und leicht zu tun: ein Cookie! Aber der Browser (Chrome und Safari getestet) ignoriert sie einfach. Also die Antwort-Header wie folgt aussehen:Browser nicht Cookie-Antwort-Header zu halten
Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:*
Connection:keep-alive
Content-Encoding:gzip
Content-Type:application/json; charset=utf-8
Date:Wed, 19 Jul 2017 04:51:51 GMT
Server:nginx
Set-Cookie:UserAuth=<some jwt>; Path=/; Domain=10.10.1.110; Expires=Wed, 19 Jul 2017 12:51:51 GMT; HttpOnly; Secure
Transfer-Encoding:chunked
Vary:Origin
Die Anfrage tutwithCredentials=true
umfassen. Aber der Abschnitt Cookies in Chrome ist leer. Ich habe versucht, die Domain vollständig zu entfernen, den Pfad zu entfernen, jede Konfiguration, die ich mir vorstellen kann, aber der Browser wird einfach nicht Ball spielen.
Was fehlt mir?
Sie setzen ein Cookie mit 'Secure' Flag, das den Browser nur auf die Anwendung über verschlüsselte Verbindungen zurückgegeben werden sollte, dass das Cookie anweist. Erfüllt Ihre Verbindung diese zwingende Anforderung? –
Ja, die Verbindung ist über https. –
Wenn '' _Credentials = true' 'mit 'XMLHttpRequest'-Objekt für eine Kreuzursprungsanforderung verwendet wird, können Sie' * 'nicht für' Access-Control-Allow-Origin 'verwenden, um den Ursprung zuzulassen. Versuchen Sie, Kreuzursprungsdaten anzufordern? Möglicherweise versuchen Sie, den Domänennamen explizit zu "Access-Control-Allow-Origin" hinzuzufügen. –