在Safari中使用CORS实现跨域cookie

Question

我遵循了下面的示例：http://arunranga.com/examples/access-control/credentialedRequest.html

在此页面中：http://arunranga.com/examples/access-control/

该示例在Firefox中工作，但在Safari中不起作用，有人尝试过实现CORS跨域cookie处理，并在Safari中成功吗？

谢谢。

Answer 1

这听起来像是Safari的bug。我刚刚验证了Safari中没有设置跨域cookie。跨域cookies可以在Chrome中运行，所以这可能会在WebKit中修复，而最新版本还没有发布到Safari中。我还没有看到有关这个问题的Safari或WebKit错误报告。

Answer 2

Safari还会拦截来自未被直接访问的网站的cookie。您可以在安全设置中看到。它的默认设置是接受cookies：“仅来自我访问的站点”。

这将帮助您入门。Setting cross-domain cookies in Safari

我使用上面链接中的方法在safari中使用jsonp。因此，假设cookie可以在CORS上下文中工作，但在这个阶段，它似乎不起作用。此外，更改安全设置似乎没有任何效果。

Safari可能会要求返回一组更严格的标头？

Answer 3

我在Heroku的不同子域上的API/UI应用程序中遇到了这个问题，比如my-api.herokuapp.com和my-ui.herokuapp.com，会话cookie是为my-api.herokuapp.com设置的。在这种情况下，即使是访问my-api.herokuapp.com似乎也对Safari没有帮助，因为它的默认设置是“仅从我访问的站点”policy @23inhouse提到的：http://content.screencast.com/users/artemv/folders/Jing/media/4dfc08d7-0e9c-483f-a272-bbe91549ea95/00000759.png。

然而，当我们为这些应用程序分配一个自定义域名时，Safari运行得很好，它变成了my-api.mydomain.com和my-ui.mydomain.com -所以看起来Safari对流行主机的子域的信任度特别低。在这种情况下，不需要直接访问my-api.mydomain.com。