在跨域请求中设置httpOnly cookie

Question

当服务器和客户端位于完全不同的域(而不是子域)时，可以在浏览器上设置httpOnly cookie吗？当我的服务器和客户端都在http://localhost上时，这个机制可以工作，但是当我将cookie移动到不同的域时，浏览器中甚至没有设置cookie。我尝试过在服务器上添加“访问控制-允许-起源”头，但它仍然不起作用。我有一个反应前端应用程序和节点后端都托管在不同的领域。只有在应用程序是单块的情况下，cookie机制才能工作吗？

Answer 1

您需要将访问-控制-允许-原产地作为您发送请求的域。假设您正在从www.facebook.com调用api，那么“访问控制-允许-原产地”应该具有www.facebook.com值。拥有*的“访问-控制-允许-起源”将不起作用。“访问-控制-允许-来源”的当前值是多少？