CORS $ .ajax Sitzungscookies (access-control-allow-credentials & withCredentials = true)

verhinderte, dass der Sitzungscookie bei jeder Anfrage an den Server zurückgesendet wurde. Folgendes wurde behoben.

Obwohl dies zulässt, dass der Sitzungscookie vom Browser gesetzt wird, wenn Sie einen Cross-Origin-Request-Sharing-Aufruf durchführen, habe ich jetzt Probleme bezüglich des folgenden Szenarios:

Server A sendet eine Antwort an den Client Client, der CORS verwendet, stellt eine Anfrage an Server B

Aufgrund der MUTEX-Sperren in der PHP-Sitzungsverwaltung können die asynchrone Natur und anscheinend die Anforderung eine manuelle Ersetzung des Cookies mit einer anderen Kopfzeilenoption wie XCookie oder etwas Ähnlichem erzwingen, um die Serversitzungs- und Clientanforderungen synchronisiert zu halten .

Diese besondere Arbeit passt nicht gut zu mir, da ich glaube, dass es für Session-Hijacking- und Session-Replay-Angriffsvektoren eine einfache Fahrspur eröffnen würde.

Die Verwendung einer verschlüsselten SSL / TLS-Verbindung kann dazu beitragen, das obige Szenario zu verhindern, aber in Bezug auf die Bereitstellung von Sicherheitsmaßnahmen für den Client, glaube ich nicht, dass dies ausreichen sollte.

Wer hat irgendwelche Gedanken dazu?

In Ihrem Beispiel oben setzen Sie den Header "Access-Control-Allow-Origin" auf "http://someotherdomain.com", was der URL entspricht, die Sie von JQuery anfordern. Der Access-Control-Allow-Origin-Header sollte der Wert der Domäne sein, aus der die Anforderung stammt. Versuchen Sie als schnellen Test, den Wert dieses Headers auf '*' (ohne die Anführungszeichen) zu setzen und sehen Sie, ob es funktioniert ('*' bedeutet, dass alle Domains erlaubt sind).