Учетные данные CORS cookie из мобильного WebView загружаются локально с файлом://

Ответ 1

Я понимаю, что этот вопрос устарел, но я подумал, что все равно набросись на него. В случае запросов CORS браузер запускает их. Это означает, что - несмотря на любой метод $.ajax(), который вы используете, на сервер отправляется запрос OPTIONS.

В этом предпродажном запросе OPTIONS говорится:

"Эй, чужой сервер-от-другого-домена, я хочу отправить вам непростой запрос (простой запрос не предваряется). Мой непростой запрос будет иметь такие заголовки и тип контента и т.д. Можете ли вы сообщить мне, если все в порядке?"

Затем сервер будет делать все, что он делает (возможно, проверяет какую-либо конфигурацию или базу данных) и отвечает разрешенным источником (-ами), допустимым заголовком (-ами) и/или допустимым (ыми) методом (-ами).

Наконец - если этот запрос preflight OPTIONS получил ответ, который позволяет фактическому методу $.ajax() идти - он идет.

CORS не то же самое, что JSONP.

Все сказанное - в то время как withCredentials успех перед полетом требует ответа на перенос заголовка Access-Control-Allow-Credentials (как указано в вопросе), то есть IN ДОБАВЛЕНИЕ к значениям Access-Control-Allow-Origins И Access-Control-Allow-Methods, которые должны включать в себя грани от предполагаемого запроса.

Например, если вы делаете запрос CORS POST из источника http://foo-domain.com с заголовками somevalue до http://bar-domain.com, запрос preflight OPTIONS погаснет и для того, чтобы фактический пост-запрос был сделанный в http://bar-domain.com, запрос OPTIONS должен был бы получить ответ со значением Access-Control-Allow-Origins, который включал http://foo-domain.com. Это может быть имя самого начала или *. Ответ также должен иметь значение Access-Control-Allow-Methods, которое включало POST. Это также может быть *. И, наконец, если мы хотим, чтобы наш заголовок somevalue был разрешен, ответ должен содержать значение Access-Control-Allow-Headers, которое включает наш заголовок somevalue или *.

Чтобы повернуть назад - если вы не можете управлять сервером или не имеете возможности разрешить серверу разрешать ваши запросы CORS, вы всегда можете использовать JSONP или некоторый тип urlEncoded и/или делать простые запросы без пользовательских заголовков. GET, HEAD, а полные запросы POST обычно являются простыми запросами.

Ответ 2

Я предполагаю, что если вы создаете гибридное приложение, вы используете кордову. Если это так, вам не нужно CORS, вам просто нужно, чтобы белый список доменов, к которым вы хотите получить доступ.

http://docs.phonegap.com/en/3.0.0/guide_appdev_whitelist_index.md.html

Ответ 3

Мое предложение установлено ACCESS-CONTROL-ALLOW-ORIGIN на null на стороне сервера

Да, этот вопрос меня немного беспокоит.

Относительно CORS spec, null может удовлетворить ситуацию, когда запрос CORS из схемы file://

И пратическая рекомендация по этой спецификации заключается в том, чтобы установить ее как origin-list-or-null, которая является либо списком пространственно- разделенное происхождение или просто "нуль" (кстати, строка %x6E %x75 %x6C %x6C из определения для origin-list-or-null буквально null hex-encoded)

Наконец, вы спросите, не будет ли это равным *, если мы установим ACCESS-CONTROL-ALLOW-ORIGIN в null, так как каждый запрос из схемы file:// действителен (это означает, что каждое гибридное приложение может получить доступ к вашей конечной точке, если оно знает о вашем URI)?

Ну, учитывая Access-Control-Allow-Credentials: true, я считаю, что на сервере работает целый механизм аутентификации. Он должен был отфильтровать эти запросы без правильного авторизации

Надеюсь, что это поможет

Ответ 4

Попробуйте посмотреть на www.5app.co.uk. Исключает использование вызовов XHR в целом и надежно работает на мобильных устройствах, когда происходит соединение данных. Затем Gateway взаимодействует с вашим клиентом.

Ответ 5

Использовать запрос JsonP. Запрос JsonP позволяет выполнять запрос перекрестного домена. Вот пример.