Mengapa Kuki HTTPSahaja Saya Tidak Ditetapkan pada Localhost?

HTTOnly Cookie Tidak Ditetapkan dalam Penyemak Imbas Localhost

Masalah:

Log masuk A REST API titik akhir menghantar kuki HTTPOnly yang mengandungi muatan (JWT), tetapi kuki itu tidak ditetapkan pelayar. Pendekatan itu telah bekerja selama bertahun-tahun, tetapi baru-baru ini berhenti. Isu ini diasingkan kepada persekitaran localhost. Ujian posmen mengesahkan kuki ditetapkan seperti yang dijangkakan.

Pendekatan Digunakan:

• Melaksanakan keperluan teras titik akhir log masuk dalam Go fiber dan Node Express.
• Melucutkan bahagian hadapan kepada log masuk asas borang.

Penyiasatan:

API Go dan Node kedua-duanya menghantar pengepala Set-Cookie dengan betul dengan set bendera HTTPOnly. Ini menunjukkan bahawa masalah mungkin terletak pada penyemak imbas atau kaedah fetch().

Penyelesaian:

Isu telah diselesaikan dengan menambahkan bukti kelayakan: sifat "include" kepada kaedah fetch() dalam JavaScript bahagian hadapan. Sifat ini mengarahkan penyemak imbas untuk menghantar dan menerima kuki.

Sebab:

HTTHanya kuki direka bentuk untuk menghalang JavaScript pihak pelanggan daripada mengakses kandungan kuki. Pelayar menyokong ini dengan tidak menghantar kuki dalam permintaan XHR atau fetch() secara lalai. Dengan menambahkan bukti kelayakan: sifat "termasuk", penyemak imbas secara jelas diberitahu untuk menghantar kuki bersama-sama dengan permintaan, membenarkannya diterima oleh pelayan dan ditetapkan dengan sewajarnya.

Nota Tambahan:

• Jika menggunakan Axios untuk permintaan HTTP, ia secara automatik menyertakan kelayakan dalam konfigurasi.
• Untuk Node Express, anda juga mungkin perlu menetapkan withCredentials: true dalam konfigurasi permintaan untuk membenarkan penyemak imbas menetapkan kuki.

Atas ialah kandungan terperinci Mengapa Kuki HTTPSahaja Saya Tidak Ditetapkan pada Localhost?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!