php和axios允许跨域携带cookie的基本设置
axios
在使用 axios 发送 HTTP 请求时,默认情况下,如果请求是针对同源的,axios 会自动从浏览器中读取并发送 Cookie 请求头。但是,如果你遇到 Cookie 没有被发送的情况,或者你需要确保 Cookie 被正确发送,你可以通过以下方式确保 Cookie 被携带:
确保跨域配置正确:
如果你的请求是跨域的,你需要确保服务器端正确设置了 CORS(跨源资源共享)策略,并且允许携带凭证(credentials)。服务器端应包含如下响应头:
http
Access-Control-Allow-Origin: https://your-frontend-origin.com
Access-Control-Allow-Credentials: true注意,Access-Control-Allow-Origin 不能设置为 *,而是需要设置为具体的前端源地址。
在 axios 请求中设置 withCredentials
当发送跨域请求时,你需要告诉 axios 携带凭证(如 Cookie)。这可以通过在请求配置中设置 withCredentials 为 true 来实现:
axios.defaults.withCredentials = true; // 全局设置// 或者在单个请求中设置
axios.get('https://your-api-endpoint.com/data', {
withCredentials: true
})
.then(response => {
// 处理响应
})
.catch(error => {
// 处理错误
});检查同源策略:
如果请求不是跨域的,确保请求和响应的域名、端口和协议都相同,以符合同源策略。
你可以使用 axios 的请求拦截器来手动添加 Cookie 请求头。
虽然这不是推荐的做法(因为 axios 和浏览器应该自动处理这个),但在某些特殊情况下可能有用:
axios.interceptors.request.use(config => {
// 手动添加 Cookie 到请求头(不推荐,除非有特殊需求)
const cookie = document.cookie;
if (cookie) {
config.headers.Cookie = cookie;
}
return config;
});PHP
在 PHP 中设置 Access-Control-Allow-Credentials 响应头以允许跨源请求携带凭据(例如,Cookies 和 HTTP 认证),您需要在服务器端编写相应的逻辑来发送这个头。这通常是在处理跨域请求(CORS)时使用的。
请注意,Access-Control-Allow-Credentials 响应头必须和 Access-Control-Allow-Origin 一起使用,并且 Access-Control-Allow-Origin 的值不能是通配符 *,它必须是一个具体的域名。
下面是一个基本的例子,说明如何在 PHP 中设置 Access-Control-Allow-Credentials 和其他 CORS 相关的响应头:
<?php
// 假设您有一个特定的允许跨域请求的域名
$allowedOrigin = 'https://example.com';
// 检查请求是否包含Origin头,并且是否是您允许的源
if (isset($_SERVER['HTTP_ORIGIN']) && $_SERVER['HTTP_ORIGIN'] === $allowedOrigin) {
// 设置CORS响应头
header('Access-Control-Allow-Origin: ' . $allowedOrigin);
header('Access-Control-Allow-Methods: GET, POST, OPTIONS'); // 允许的方法
header('Access-Control-Allow-Headers: Content-Type'); // 允许的请求头
header('Access-Control-Allow-Credentials: true'); // 允许携带凭据
// 检查请求方法是否为OPTIONS,如果是,则直接返回,因为预检请求不需要实际处理
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
exit;
}
}
// 接下来是您的正常业务逻辑代码
// ...在这个例子中,我们首先检查请求的 Origin 是否与允许的源匹配。如果匹配,我们设置 Access-Control-Allow-Origin 为该源,并设置 Access-Control-Allow-Credentials 为 true 以允许请求携带凭据。同时,我们也设置了其他CORS相关的响应头,比如 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers。
请注意,这只是一个基本示例。在实际应用中,您可能需要考虑更多的因素,比如支持多个允许的源,处理预检请求(OPTIONS 请求),以及处理更复杂的CORS需求。
此外,如果您的应用部署在 Web 服务器上(如 Apache 或 Nginx),您可能还需要在服务器配置中设置 CORS 相关的指令,以确保响应头被正确发送。
目录