跨域问题(续)

此贴接上贴实践解决跨域问题的三种方式剖析

今天继续作个人schub项目的时候，遇到了苦恼我一天的问题，expresss-session没有持久化，我在后端把登陆的状态存在req的session里，下次发post的时候再发请求的时候req.session里面存的用户的状态的字段没了。

我上次用到express-session的时候仍是作得那个微博系统，先后端杂糅的项目（node+ejs），那时候就没遇到这个问题，后来排查这个问题的时候，google 网上有关express-session的项目，发现这些项目全是先后端在一块儿的架构，而后我就意识到一个问题，先后端在一块儿域名和端口都是一致的，当先后端分离在本地调试的时候，我处理了不少跨域问题，那么如今，是否是由跨域问题引发的。

我本地打印调试了fetch发送的请求，（由于跨域每次请求发了一个option），发现每次的session都是新的，sessionId不一样，那么怎么保持session会话一致呢。

后来差文档，发现：

对于跨域 XMLHttpRequest 或 Fetch 请求，浏览器不会发送身份凭证信息。若是要发送凭证信息，须要设置 XMLHttpRequest 的某个特殊标志位。对于附带身份凭证的请求，服务器不得设置 Access-Control-Allow-Origin 的值为“*”。

用了Access-Control-Allow-Credentials: true，就不能设置Access-Control-Allow-Origin:'*'了。因此能够设置，当A用户进来的时候，咱们设置A用户为白名单就好，同理B用户也是。也就是说，谁访问就把谁的域设置为白名单就能够了。

Access-Control-Allow-Origin: <origin> | *

因此个人处理通常是：

app.all('/*', (req, res, next) => {
  res.setHeader('Access-Control-Allow-Origin', req.headers && req.headers.origin ? req.headers.origin : '*');
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, PATCH, DELETE');
  res.setHeader('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept, Connection, User-Agent, Cookie, Authorization');
  res.setHeader('Access-Control-Allow-Credentials', true);
  //post请求以前，会发送一个options的跨域请求
  if (req.method === 'OPTIONS') {
    res.sendStatus(200);
  } else {
    next()
  }
})

因为前端react里面请求是fetch发送的，fetch的原理就是xhr+promise,
那么fetch确定也有这么一个维持身份凭证的消息头，

看MDN：

XMLHttpRequest.withCredentials  属性是一个Boolean类型，它指示了是否该使用相似cookies,authorization headers(头部受权)或者TLS客户端证书这一类资格证书来建立一个跨站点访问控制（cross-site Access-Control）请求。在同一个站点下使用withCredentials属性是无效的。

此外，这个指示也会被用作响应中cookies 被忽视的标示。默认值是false。

若是在发送来自其余域的XMLHttpRequest请求以前，未设置withCredentials 为true，那么就不能为它本身的域设置cookie值。而经过设置withCredentials 为true得到的第三方cookies，将会依旧享受同源策略，所以不能被经过document.cookie或者从头部相应请求的脚本等访问。

三点信息：
1.跨域访问中，只有带上withCredentials=true才会容许跨域的请求中带上本身cookie，（authorization）而cookie中是存有sessionId的，因此也是保持会话一致的前提。
2.同域名下的这个参数是无效的。
3.经过这种方法携带的cookie依然受同源策略的限制，咱们不能直接经过前端手段或者脚本访问到改cookie。

因此我在react前端把全部的fetch的options中加上

credentials: 'include',

便可。此时发现每次fetch请求的session是同一个了。