苹果手机IOS全版本safari浏览器和Android 6.0 Webview 跨域请求(CORS)时，不带cookies问题

Z时代
2024-01-10
分类：IT

一、问题描述

已知IOS全版本webview、IOS全版本原生safari浏览器和Android 6.0微信Webview中，当xhr以CORS方式跨域请求时，浏览器不带cookies，导致登陆状态丢失等。

目前无法找到原因，故向各位求助。

二、复现环境

（1）浏览器环境：

使用如下列表中的任一手机，和该手机内的浏览器（或应用webview），即可复现该问题：

（A）苹果手机，IOS全版本，safari浏览器
（B）苹果手机，IOS全版本，微信+内嵌系统Webview
（C）安卓手机（Nexus 5），原生Android 6.0，微信+内嵌系统Webview

其余手机，如Android 6.0 + Chrome，则不存在该问题。

三、复现步骤

（1）以上述浏览器打开如下地址：

http://surl.sinaapp.com/corsclient/user.html

（2）等待一段时间后，待提示“CROS运行成功”后，留意“上一个session数字”和“下一个session数字”

（3）点击“点击刷新页面”，待提示“CROS运行成功”后，留意该步骤中的“上一个session数字”是否和步骤（2）中的“下一个session数字”是否完全相同。

四、预期结果

复现步骤（3）中的“上一个session数字”和步骤（2）中的“下一个session数字”完全相同，并且不会是“NO_RANDOM_NUMBER_IN_SESSION”。

五、目前故障结果

复现步骤（3）中的“上一个session数字”永远为“NO_RANDOM_NUMBER_IN_SESSION”。提示CORS方式跨域请求不带cookie。

六、附录

复现源代码：https://github.com/HorseLuke/drafts/tree/master/cors-header

回答：

这是由于第三方 cookie 的隐私策略造成。
Android 5.0 之后，对于 WebView 需调用 setAcceptThirdPartyCookies 方法， IOS 7.0 之后，对于 WebView 需设置 setCookieAcceptPolicy 配置，允许第三方 cookie 存储。
变通的解决方案是，用户访问后端域下的中转页，中转页写入（非 Session 级别？） cookie 并（302/meta/js）跳转至前端域下的入口页面，此时入口页面即可正常使用“预请求”模式。
注意 Safari 开发人员工具中记录的 request 通讯，似乎并未正确显示应携带的跨域 cookie 数据，但后端确实接收到了该数据。

详情看这里：
http://blog.codemonkey.cn/arc...

回答：

跨域就是不带cookie，任何浏览器都这样，跟设备无关。所以说才有了oauth2这类的api的出现，通过在请求信息里面加一个token来标识用户的登陆状态。
如果两个域的根域名是一个还有解救方法，如果不是，那就不能再通过cookie这种手段了。

回答：

可以不用json来做，直接引用js可以成功。安卓6.0 微信已测
test.php

header('Content-Type: application/x-javascript;charset=UTF-8');echo 'var LAST_RANDOM_NUMBER_IN_SESSION='.$last_random.';NEXT_RANDOM_NUMBER_IN_SESSION='.$_SESSION['test_random'].';';

user.html

<script src="http://horseluke.sinaapp.com/bug/weixin_cros_no_cookie/test.php"></script>
  <script>
  $(window).load(function(){
    $("#last_num").text(LAST_RANDOM_NUMBER_IN_SESSION);
    $("#next_num").text(NEXT_RANDOM_NUMBER_IN_SESSION);
    })  </script>