使用 Cookie 获取 API

Fetch默认不使用cookie。要启用 cookie，请执行此操作：

fetch(url, {
  credentials: "same-origin"
}).then(...).catch(...);

除了@Khanetor的回答之外，对于那些处理跨源请求的人：

credentials: 'include'

示例 JSON 获取请求：

fetch(url, {
  method: 'GET',
  credentials: 'include'
})
  .then((response) => response.json())
  .then((json) => {
    console.log('Gotcha');
  }).catch((err) => {
    console.log(err);
});

https://developer.mozilla.org/en-US/docs/Web/API/Request/credentials

刚刚解决了。就两个f。暴力的日子

对我来说，秘诀如下：

1. 我调用 POST /api/auth 看到 cookie 已成功接收。

2. 然后使用

   credentials: 'include'

   调用 GET /api/users/ 并得到 401 unauth，因为没有随请求发送 cookie。

关键是为第一个

credentials: 'include'

/api/auth

如果您在 2019 年阅读本文，则

credentials: "same-origin"

fetch(url).then

以编程方式覆盖浏览器端的

Cookie

在

fetch

Cookie

• 在https://httpbin.org/页面的Chrome DevTools控制台中执行，

  Cookie: 'xxx=yyy'

  将被忽略，如果有的话，浏览器将始终将

  document.cookie

  的值作为cookie发送。
• 如果在不同的源上执行，则不会发送 cookie。

fetch('https://httpbin.org/cookies', {
  headers: {
    Cookie: 'xxx=yyy'
  }
}).then(response => response.json())
.then(data => console.log(JSON.stringify(data, null, 2)));

附注您可以通过在 Chrome 浏览器中打开

https://httpbin.org/cookies/set/foo/bar

有关详细信息，请参阅禁止的标头名称。

只是为

.net

webapi2

如果您使用

cors

webapi

SupportsCredentials=true

        // Access-Control-Allow-Origin
        // https://learn.microsoft.com/en-us/aspnet/web-api/overview/security/enabling-cross-origin-requests-in-web-api
        var cors = new EnableCorsAttribute(Settings.CORSSites,"*", "*");
        cors.SupportsCredentials = true;
        config.EnableCors(cors);

这对我有用：

import Cookies from 'universal-cookie';
const cookies = new Cookies();

function headers(set_cookie=false) {
  let headers = {
    'Accept':       'application/json',
    'Content-Type': 'application/json',
    'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
};
if (set_cookie) {
    headers['Authorization'] = "Bearer " + cookies.get('remember_user_token');
}
return headers;
}

然后建立您的通话：

export function fetchTests(user_id) {
  return function (dispatch) {
   let data = {
    method:      'POST',
    credentials: 'same-origin',
    mode:        'same-origin',
    body:        JSON.stringify({
                     user_id: user_id
                }),
    headers:     headers(true)
   };
   return fetch('/api/v1/tests/listing/', data)
      .then(response => response.json())
      .then(json => dispatch(receiveTests(json)));
    };
  }

如果修复凭据后仍然无法正常工作。

我也正在使用：

  credentials: "same-origin"

它曾经可以工作，然后突然不再工作了，经过深入研究，我意识到我已将网站网址更改为

http://192.168.1.100

http://localhost:3000

所以总而言之，请确保页面的域与获取网址的域匹配。

我的问题是我的 cookie 设置在特定的 URL 路径上（例如，

/auth

fetch

path

/

如果

fetch

我观察到我的服务器正在返回带有

Location

http

https

(blocked:mixed-content)

如果有人感兴趣，在这种特殊情况下，SSL 终止是在反向代理中执行的，但是由于配置错误，

gunicorn

secure-scheme-headers

forwarded_allow_ips

fetch

我浪费了三个小时寻找解决方案，所以我决定分享我的发现。

login(email: string, password: string): Promise<User | null> {

  return fetch('http://localhost:8080/api/login', {
    method: 'POST',
    credentials: 'include',
    headers: {
      'Content-Type': 'application/json',
    },
    body: JSON.stringify({
      email: email,
      password: password,
    }),
  })
      .then(response => {
        this.handleError(response);
        return response.ok ? response.json() : null;
      })
}

1. “credentials: 'include'” 参数必须在接收到

   Set-Cookies

   header 的请求中设置，而不仅仅是我们期望携带 cookie 的后续请求；
2. 最重要的是，服务器返回的

   Access-Control-Allow-Headers

   必须列出客户端可以发送的所有可能的标头。与您的预期相反，通配符星号值不起作用。如果客户端发送至少一个未知标头，它也会破坏 cors。