跨域 cookie 到底应该怎么实现？我需要在 domain-1.com 通过 jquery 调用 domain-2.com 上的 PHP 写 cookie，在 domain-1.com 上读取，有可能实现么？

This topic created in 1930 days ago, the information mentioned may be changed or developed.

setcookie('test', 1234, time() + 31536000, '/', 'www.domain-1.com');

domain-2.com/.htaccess

Header add Access-Control-Allow-Origin: http://www.domain-1.com
Header add Access-Control-Allow-Credentials: true

使用 jquery 在 domain-1.com 上调用 domain-2.com/setcookie.php

$.ajax({url: 'domain-2.com/setcookie.php', dataType : 'json', crossDomain: true, xhrFields: {withCredentials: true}});

domain-1.com/test.php 上读取$_COOKIE['test']

结果：jquery 的 ajax call 显示 setcookie was blocked 。

看了很多文档提到只要设置好 Allow-Credentials 和 withCredentials 就可以了，指的不是这种情况么

jquery

true

header

26 replies • 2021-02-16 17:58:53 +08:00

sanmaozhao

Feb 7, 2021

domain-2.com 的页面无法往 domain-1.com 写 cookie
sub2.domain.com 往 sub1.domain.com 才可以

brust

Feb 7, 2021

用 token 不好吗

RLWGQ0AI4MAvYy36

Feb 7, 2021

参数加密传递吧

YouLMAO

Feb 7, 2021

大哥, 不能读 /写跨域 cookie, 这是法则, 互联网不是法外之地

Allow-Credentials
指 zhifubao 服务器允许你将 zhifubao 用户的 cookie 发给服务器

不是允许你读写 zhifubao 用户的 cookie, 这他妈偷钱都可以了

moreant

Feb 7, 2021 via iPhone

csrf 我自己？

huanruke

Feb 7, 2021

我也一直在寻找这样的财富密码 T.T

meepo3927

Feb 7, 2021

没有跨域 cookie 这一说法吧

Ariver

Feb 7, 2021 via iPhone

如果两个域名都在你的控制之下就可以

chinvo

Feb 7, 2021 via iPhone

domain 2 set cookie 的时候 set 到 domain 1 就可以

vvmap

Feb 7, 2021

这是啥操作，a.foo.com 与 b.foo.com 可以互相取到 cookie; 但是 a.com 与 b.com 之间 cookie 是限制获取的。4 楼说的很对了，这是规则

mostkia

Feb 7, 2021

反向代理把 domain-2.com 地址代里到 domain-1.com 的某个目录里，然后去这个目录里访问你说的 php 地址，就应该不会跨域了。

onec

Feb 7, 2021

要是跨域能读到 cookie, 做钓鱼网站的不是想拿啥拿啥

kmonster

Feb 7, 2021

你应该是说 session 跨域使用吧，用 redis 来做 session 共享；
cookie 是带着 sessionId 去服务器校验 session，如果你的 session 没有做共享，A 服务器的 session 无法在 B 服务器使用

YouLMAO

Feb 7, 2021 via Android

@kmonster

两个站点分开登录如何共享呢？

等同于，你的两个手机共享 sessionid

Cipher0

Feb 8, 2021

为什么不能直接用 oAuth ？

darknoll

Feb 8, 2021

不能实现，第三方 cookie 屏蔽，你怎么折腾都没用

wjpauli

Feb 8, 2021

@brust 涉及到现有项目重构

wjpauli

Feb 8, 2021

@Ariver 烦请看下我的代码，哪里错了。
@chinvo 烦请看下我的代码，哪里错了，我的代码就是在 domain-2 set cookie 到 domain-1，但是 chrome 显示 blocked 。但是我现在可以实现 domain-1 通过 ajax 调用 domain-2 的 php 脚本设置 cookie 到 domain-2 。

@vvmap 他说的那是两个不同归属的网站，我说的是 domain-1.com 通过 ajax 调用 domain-2.com ，这叫 cors，完全是两回事。

chinvo

Feb 8, 2021 via iPhone

@wjpauli #16 时间过去有点久忘了当年怎么弄的了。现在的浏览器会拦截这种给其他域名 set cookie 。

你试试 p3p，不知道现在还能用么。

wjpauli

Feb 8, 2021

@chinvo p3p 是在 domain-1 里使用 iframe 调用 domain-2，设置 domain-2 下面的 cookie，现在这些 adsense 类的广告都是这么插的。思来想去我决定放弃 session+cookie 改用 token 。

chinvo

Feb 8, 2021 via iPhone

@wjpauli #18 时间过去太久只有模糊印象。总之，这些都属于歪门邪道，容易引发安全问题。

justfun

Feb 10, 2021

浏览器同源政策及其规避方法
http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

justfun

Feb 10, 2021

跨域资源共享 CORS 详解
http://www.ruanyifeng.com/blog/2016/04/cors.html

inhal

Feb 10, 2021 via Android

@wjpauli #20 请问现在你的解决方案是什么？可以分享一下吗？

laozhoubuluo

Feb 11, 2021

两个不同的域名，肯定是不能直接读取 Cookie 的。
只能是在 domain-1.com 的前端上让 jQuery 去请求一个 domain-2.com 的接口，让他把 domain-2.com 上的 test Cookie 发过来，完了 domain-1.com 前端再根据返回值决定业务状态。
拿到返回值之后，不管是写到 domain-1.com 的 cookie，还是直接拼接到请求里面提交给后端都可以。

markgor

Feb 16, 2021

withCredentials 印象中只能传不能写吧？
你需求是访问 A，通过 AJAX 请求 B，把 B 的结果写入 A 的 cookie 里面？
如果是这样，可以尝试：

方案 1：
A 发送请求 B，B 不需要通过 cookie，直接返回 response text，然后再发 ajax 请求去 A 设定 cookie 。
（涉密可以通过 openssl 加密返回内容，在 a 的请求位置上解密即可。

方案 2：
页面通过 AJAX 请求 A，A 通过 curl 请求 B，再把 COOKIE 传递回去。（即 B 的 ajax 访问改为 A 通过 CURL 访问）