问题描述
我有一个托管在dev.subdomain.mydomain.com上的前端Angular应用程序。该应用程序向dev.api.mydomain.com上托管的.net CORE API发出HTTP请求。我的角度应用程序具有与之关联的会话cookie,该会话cookie具有以下安全属性:
Secure=true
HttpOnly=true
SameSite=None
Domain=.mydomain.com
我希望在每次请求时都将cookie发送到后端服务器,但由于某种原因,请求会在没有cookie的情况下发送。
我添加了一个角度拦截器,将withCredentials选项添加到外发请求中
req = req.clone({
headers: req.headers.set('Content-Type','application/json'),withCredentials: true
});
但是那也没有帮助。在Chrome和Firefox中进行了测试,结果相同。
Update:我注意到cookie确实是在初始的http请求上发送的(去服务器获取有角度的应用程序),但是使用httpClient的ajax请求却没有与cookie一起发送
Update 2:我已经设置了我的API,以便在飞行前响应中包含以下标头:
Access-Control-Allow-Origin: https://dev.subdomain.mydomain.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type,withcredentials
Access-Control-Allow-Methods: GET
仍然没有发送Cookie。
解决方法
如果前端和API均位于*.mydomain.com下,则它们应计为同一站点,这意味着SameSite=Lax应该没问题。
如果您查看Chrome开发者工具,则“问题”标签应告诉您任何受SameSite默认设置影响或没有正确设置属性的Cookie。
在“网络”选项卡中,如果您选择一个单独的请求,那么您也可以在其中查看Cookies子面板,并启用“显示过滤出的请求Cookies”以显示哪些cookie被删除。将鼠标悬停在它们上面还将提供说明原因的工具提示。