Может ли ответ AJAX установить cookie?

Question

Может ли ответ AJAX установить cookie?

226

Может ли ответ AJAX установить cookie? Если нет, то каково мое альтернативное решение? Должен ли я установить его с помощью Javascript или чего-то подобного?

Billworth Vandory 27 июль 2010, в 05:46

Источник

0

Я использую node.js Express. Я заметил, что если вы сделаете это, вы должны установить для поля httpOnly значение false на стороне сервера, очевидно.
Chong Lip Phang 02 сен. 2015, в 06:04

Теги:

ajax

cookies

4 ответа

264

В соответствии с спецификацией w.3 раздела 4.6.3 для XMLHttpRequest пользовательский агент должен соблюдать заголовок Set-Cookie. Итак, ответ: да, вы должны быть в состоянии.

Цитата:

Если пользовательский агент поддерживает HTTP State Management, он должен сохраняться, отбрасывать и отправлять файлы cookie (полученные в ответе Set-Cookie заголовок и отправленный в заголовке Cookie), если применимо.

Strelok 27 июль 2010, в 06:41

36

+1 за ссылку
Mark Schultheiss 08 фев. 2012, в 14:19
1

Поддерживает ли IE заголовок Set-Cookie в ответах в случае ответов XHR?
detj 10 окт. 2012, в 14:07
0

Как следует на редиректе, и это не соблюдается в некоторых браузерах.
Walter Macambira 22 сен. 2015, в 14:52
1

Для меня, использующего Chrome, заголовки, полученные в запросах ajax, автоматически применяются к клиенту.
Alex 20 июнь 2016, в 13:47
0

Я обнаружил, что если серверная сторона возвращает ответ в виде gzip, cookie не устанавливается. Это должно быть частью спецификации или это просто проблема реализации?
juminoz 24 май 2017, в 10:03

Показать ещё 3 комментария

78

Для записи следует иметь в виду, что все вышеизложенное (правда) истинно, только если вызов AJAX выполняется в том же домене. Если вы изучаете настройки файлов cookie в другом домене с помощью AJAX, вы открываете совершенно другую червь из червей. Однако чтение междоменных файлов cookie действительно работает (или, по крайней мере, сервер обслуживает их, независимо от того, разрешает ли ваш клиент UA ваш код для доступа к ним, опять же другая тема, с 2014 года).

Gutza 12 окт. 2012, в 22:32

5

Спасибо, что вставил это. Это то, что я искал, когда натолкнулся на это. ^ __ ^
adiktofsugar 05 янв. 2013, в 05:36
22

Для отправки междоменных файлов cookie необходимо установить флаг withCredentials
aeosynth 28 янв. 2013, в 00:30
5

Для междоменного сценария должно произойти 3 вещи: - (1) Клиент должен установить withCredentials=true для объекта xhr (2) Установить Access-Control-Allow-Credentials как в предварительном запросе OPTIONS, так и в реальном запросе (3) Установите куки по мере необходимости
Kunal 25 июль 2017, в 21:16

Показать ещё 1 комментарий

5

Также убедитесь, что ваш сервер не устанавливает безопасные файлы cookie в запросе, отличном от http. Просто выяснилось, что мой запрос ajax получил сеанс php с "защищенным" набором. Поскольку я не был на https, он не отправлял файлы cookie сессии, и моя сессия получала reset для каждого запроса ajax.

Phil 27 фев. 2013, в 17:15

0

Можете ли вы сказать мне, где я могу проверить, установлен ли ajax secure?
Bronzowooki 22 янв. 2019, в 11:58
0

Это не совсем AJAX. Проверьте «Безопасный» в ответе заголовка Set-Cookie от сервера, если вы используете небезопасный http: //
Phil 06 фев. 2019, в 15:50

Ещё вопросы

Я использую node.js Express. Я заметил, что если вы сделаете это, вы должны установить для поля httpOnly значение false на стороне сервера, очевидно.
Поддерживает ли IE заголовок Set-Cookie в ответах в случае ответов XHR?
Как следует на редиректе, и это не соблюдается в некоторых браузерах.
Для меня, использующего Chrome, заголовки, полученные в запросах ajax, автоматически применяются к клиенту.
Я обнаружил, что если серверная сторона возвращает ответ в виде gzip, cookie не устанавливается. Это должно быть частью спецификации или это просто проблема реализации?
Спасибо, что вставил это. Это то, что я искал, когда натолкнулся на это. ^ __ ^
Для отправки междоменных файлов cookie необходимо установить флаг withCredentials
Для междоменного сценария должно произойти 3 вещи: - (1) Клиент должен установить withCredentials=true для объекта xhr (2) Установить Access-Control-Allow-Credentials как в предварительном запросе OPTIONS, так и в реальном запросе (3) Установите куки по мере необходимости
Можете ли вы сказать мне, где я могу проверить, установлен ли ajax secure?
Это не совсем AJAX. Проверьте «Безопасный» в ответе заголовка Set-Cookie от сервера, если вы используете небезопасный http: //

this. __curious_geek · Accepted Answer · 2010-07-27T06-21-00.000Z

208

Лучший ответ

Да, вы можете установить cookie в запросе AJAX в серверном коде так же, как и для обычного запроса, так как сервер не может различать обычный запрос или запрос AJAX.

Запросы AJAX - это просто особый способ запроса на сервер, сервер должен будет ответить так же, как и в любом HTTP-запросе. В ответ на запрос вы можете добавить файлы cookie.

this. __curious_geek 27 июль 2010, в 06:21

33

Имейте в виду, что соблюдение cookie-файла агентом HTTP - это отдельная история.
Franci Penov 27 июль 2010, в 04:48
6

@Franci: согласился. Но я думаю, что вопрос имеет смысл только для клиентов http, которые поддерживают cookie. Поэтому все, кто задает вопрос, хотят знать, можно ли записывать файлы cookie в запросе AJAX, что означает, что его UA поддерживает файлы cookie :)
this. __curious_geek 27 июль 2010, в 04:52
8

If the user agent supports HTTP State Management it should persist, discard and send cookies (as received in the Set-Cookie response header, and sent in the Cookie header) as applicable. - с w3.org/TR/XMLHttpRequest
smwikipedia 06 янв. 2016, в 13:48
1

Если сервер не может различить «обычный» и ajax-запрос, для чего предназначен этот API-интерфейс в asp.net: «this.Request.IsAjaxRequest» :)
Legends 02 апр. 2016, в 11:10
6

Это ответ, если сервер может ответить на ajax-запрос с заголовком Set-Cookie. И, конечно, может, но вопрос в том, приведет ли этот ответ к тому, что клиент прочитает и установит cookie, полученный в ответе ajax, или это нужно будет сделать вручную. Это не ответ на это.
Alex 20 июнь 2016, в 13:33
2

В запросах @Legends Ajax обычно для заголовка X-Requested-With установлено значение XMLHttpRequest, так они могут быть идентифицированы, но запрос может быть выполнен без этого заголовка, если это происходит, его нельзя отличить от обычной загрузки страницы.
T0m 24 авг. 2017, в 14:47
1

Я знаю ;-) ....
Legends 24 авг. 2017, в 19:27

Показать ещё 5 комментариев