Ajax跨域请求,没法传递及接收cookie信息解决方案

最近的项目中涉及到了应用ajax请求后台系统登陆，身份认证失败，通过不断的调试终于找到解决方案。

应用场景：

　　项目测试环境：前端应用HTML，js，jQuery ajax请求，部署在Apache服务器；后端业务系统应用spring mvc，mybatis，部署在tomcat服务器。当在一个系统须要调用另外一个系统的时候，就会出现跨域的问题，即本次咱们遇到了ajax请求的跨域问题。

　　系统权限安全框架使用shiro，系统登陆时发送ajax请求调用springmvc action方法进行系统登陆及身份认证，角色权限受权等。因为ajax请求时，浏览器会认为携带Cookie是不安全请求，将限制其携带Cookie信息，致使登陆action方法没法获取并响应相应的Cookie（JSESSIONID），身份认证及角色权限受权、退出等都操做都没法正常使用。

解决方案：

　　一、当发送ajax请求时，查看浏览器调试信息中Headers和Cookies，发现发送到后端的跨域请求并无携带 cookie 信息，可见Request Headers不包含Cookie属性，Response Headers中也不包含Set-Cookie属性，致使没法获得后台业务系统的认证。

 　　

　　解决：在ajax里添加withCredentials的配置，容许其请求携带cookie信息。经过设置withCredentials=true，发送Ajax时，Request header中便会带上 Cookie 信息。

$.ajax({
            type: "post", url:url, async:false, data:datatosend, dataType:"json", beforeSend: function(xhr) { xhr.withCredentials = true; } crossDomain:true, success: function (data) { var a=JSON.stringify(data); if(data.result==true){ 　　........... 　　 }else{ 　　　　 　　........... 　　　　 } }, error:function (data) { var a=JSON.stringify(data); alert(a); } }); 

　　注意：<踩过的坑>咱们在beforeSend方法里设置withCredentials=true；在上述代码情境下，若是使用xhrFields:{ withCredentials:true }方法，则容许携带cookie信息的配置并不生效。（缘由：ajax中添加了async:false，即修改成同步了，在窗口上下文的同步模式中，已再也不支持使用XMLHttpRequest的withCredentials属性）。当保持异步模式时，咱们能够更换对应的方法。注意2种方法的区分。

 　　二、服务器server端要配置Access-Control-Allow-Credentials

　　咱们在客户端设置了withCredentials=true 参数，对应着，服务器端要经过在响应 header 中设置Access-Control-Allow-Credentials = true来运行客户端携带证书式的访问。经过对Credentials参数的设置，就能够保持跨域Ajax时传递的Cookie。

response.setHeader("Access-Control-Allow-Credentials", "true");

　　三、服务器server端要配置Access-Control-Allow-Origin

　　到以上配置为止，发送ajax请求，咱们发现还会出现一个错误，提示咱们 Access-Control-Allow-Origin 不能用 * 通配符。缘由是：当服务器端 Access-Control-Allow-Credentials = true时，参数Access-Control-Allow-Origin 的值不能为 '*' 。

　　咱们从新设置Access-Control-Allow-Origin的值，当服务器端接收到请求后，在返回响应时，把请求的域Origin填写到响应的Header信息里（即谁访问我，我容许谁），代码以下：

response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));

　　ok，到目前问题搞定了，通过测试，可成功传递及响应cookie信息，浏览器调试信息以下图所示：