Laravel 尽管 Set-cookie header 存在,但 Cookie 未设置
Laravel Cookie not set despite Set-cookie header being present
我们正在开发一个带有 REST Api 的网站(AngularJS 1.6.1 中的前端,Laravel 5.3 中的后端)。
为了添加 CSRF 保护,我们的后端需要使用随机字符串在客户端上设置一个后端 cookie。在 laravel 中,我们 return 此响应:
响应("OK", 200)->cookie("csrf_token", "random_string");
Cookie 显然正在设置响应:
*Request headers*
POST /v1/auth/admin HTTP/1.1
Host: backend.test
Connection: keep-alive
Content-Length: 295
Accept: */*
Origin: http://frontend.test
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://frontend.test/login
Accept-Encoding: gzip, deflate
Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
*Response header*
HTTP/1.1 200 OK
Server: nginx/1.11.3
Content-Type: application/json
Transfer-Encoding: chunked
Connection: keep-alive
Access-Control-Allow-Origin: http://frontend.test
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS, PATCH
Access-Control-Allow-Headers: Origin, Content-Type, Accept, Authorization, X-Requested-With
Access-Control-Allow-Credentials: true
Cache-Control: no-cache
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 59
Date: Mon, 13 Feb 2017 11:46:16 GMT
Set-Cookie: csrf_token=random_string; expires=Sat, 12-Feb-2022 11:46:16 GMT; Max-Age=157680000; path=/; domain=http://backend.test; HttpOnly
但是,当我转到 http://backend.test Url 时,没有设置任何 cookie(document.cookie 在控制台 return 中为 null)。
后端也看不到cookie:dd($request->cookie("csrf_token") returns null.
即使我们省略域也不起作用。有什么想法吗?
当您使用 Laravel 时,您不必自己设置 csrf cookie。 Laravel 自动为您完成这项工作。
因此 laravel 自动创建一个 cookie 来存储 csrf 令牌。该 cookie 的名称是 "XSRF-TOKEN".
为了 Angular 发送 cookie 以及 CORS(跨源资源共享请求)中的请求,您需要在配置中设置 $httpProvider 作为依赖项注入:
.config(function ($httpProvider) {
$httpProvider.defaults.withCredentials = true;
//rest of route code
}
我们正在开发一个带有 REST Api 的网站(AngularJS 1.6.1 中的前端,Laravel 5.3 中的后端)。 为了添加 CSRF 保护,我们的后端需要使用随机字符串在客户端上设置一个后端 cookie。在 laravel 中,我们 return 此响应: 响应("OK", 200)->cookie("csrf_token", "random_string");
Cookie 显然正在设置响应:
*Request headers*
POST /v1/auth/admin HTTP/1.1
Host: backend.test
Connection: keep-alive
Content-Length: 295
Accept: */*
Origin: http://frontend.test
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://frontend.test/login
Accept-Encoding: gzip, deflate
Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
*Response header*
HTTP/1.1 200 OK
Server: nginx/1.11.3
Content-Type: application/json
Transfer-Encoding: chunked
Connection: keep-alive
Access-Control-Allow-Origin: http://frontend.test
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS, PATCH
Access-Control-Allow-Headers: Origin, Content-Type, Accept, Authorization, X-Requested-With
Access-Control-Allow-Credentials: true
Cache-Control: no-cache
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 59
Date: Mon, 13 Feb 2017 11:46:16 GMT
Set-Cookie: csrf_token=random_string; expires=Sat, 12-Feb-2022 11:46:16 GMT; Max-Age=157680000; path=/; domain=http://backend.test; HttpOnly
但是,当我转到 http://backend.test Url 时,没有设置任何 cookie(document.cookie 在控制台 return 中为 null)。 后端也看不到cookie:dd($request->cookie("csrf_token") returns null.
即使我们省略域也不起作用。有什么想法吗?
当您使用 Laravel 时,您不必自己设置 csrf cookie。 Laravel 自动为您完成这项工作。
因此 laravel 自动创建一个 cookie 来存储 csrf 令牌。该 cookie 的名称是 "XSRF-TOKEN".
为了 Angular 发送 cookie 以及 CORS(跨源资源共享请求)中的请求,您需要在配置中设置 $httpProvider 作为依赖项注入:
.config(function ($httpProvider) {
$httpProvider.defaults.withCredentials = true;
//rest of route code
}