前端发送跨域请求时默认是不会携带cookie的,后端无法获得sessionId。要解决这一问题,前后端配置分别如下
前端配置
前端通过设置withCredentials: true来解决。如果是在vue中使用axios,需要设置
axios.defaults.withCredentials = true如果使用的是jQuery的ajax方法
$.ajax({
url : 'xxxx',
type : 'GET',
xhrFields : {
withCredentials : true
},
crossDomain : true,
...
})后端配置
后端需要设置Access-Control-Allow-Credentials,但是需要注意的是,如果将Access-Control-Allow-Credentials设置为true,那么Access-Control-Allow-Origin就必须是具体的值,不能用 *,开发过程中可以通过获取当前请求的域名动态设置Access-Control-Allow-Origin的值来代替 * 的效果。
String originHeader = req.getHeader("Origin");
res.setHeader("Access-Control-Allow-Origin", originHeader);
res.setHeader("Access-Control-Allow-Credentials", "true");
res.setHeader("Access-Control-Allow-Methods", "*");
res.setHeader("Access-Control-Max-Age", "86400");
res.setHeader("Access-Control-Allow-Headers","Timestamp,Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token,Access-Control-Allow-Headers");
可能遇到的坑
我将前后端都配置完成后,后端依然没有获取到前端的 sessionId, 苦苦寻找解决方案,发现是 SameSite 导致的,新版本的spring web 默认启用了 SameSite 。解决方案:
@Configuration
public class SpringSessionConfig {
public SpringSessionConfig() {
}
@Bean
public CookieSerializer httpSessionIdResolver() {
DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
cookieSerializer.setSameSite(null);
return cookieSerializer;
}
}
版权声明:本文为Qc1998原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。