web-dev-qa-db-fra.com

Pourquoi les cookies sont-ils envoyés avec les demandes de domaine croisées de la page HTML mais pas avec XHR de JS?

Lorsque nous écrivons une page HTML avec form tag et un attribut action et un bouton d'envoi. Dès que nous cliquons sur Soumettre une demande est envoyé (avec des cookies) au URL qui était la valeur de action attribut.

Mais si nous envoyons une demande de domaine croisé au même domaine avec les cookies XHR JS ne seront pas envoyés.

Dans les deux cas, des demandes sont envoyées à un autre domaine mais des cookies sont-ils envoyés avec le premier cas seulement pourquoi?

3
Nix

Les cookies peuvent être envoyés avec XHR si Sansrétiens est défini sur true. Contrairement au formulaire d'origine croisée Soumettre ou l'origine croisée comprend des ressources que l'application a en réalité le contrôle si des cookies sont envoyés ou non. Comme il est plus sûr de ne pas inclure les cookies dans les demandes de cross-sites, il s'agit de la valeur par défaut et l'application doit l'activer explicitement si nécessaire.

3
Steffen Ullrich