為什么設(shè)置了跨域和withCredentials后，document.cookie仍然為空？

跨域請求下，document.Cookie 為空的原因及解決方法

在進行跨域請求時，document.cookie 獲取不到 Cookie 值是一個常見問題。即使設(shè)置了 withCredentials: true 并允許跨域，仍然可能出現(xiàn)這種情況。本文將分析可能的原因并提供相應(yīng)的解決方法。

問題描述

后端已正確配置跨域訪問，并設(shè)置了 Cookie（例如，Sessionid），也允許客戶端訪問該 Cookie。但客戶端使用 document.cookie 獲取 Cookie 時，結(jié)果為空。

客戶端代碼示例：

fetch('/login', {   method: 'POST',   credentials: 'include', // 關(guān)鍵：設(shè)置 withCredentials   body: json.stringify(this.loginForm) }) .then(response => {   if (response.ok) {     console.log(document.cookie); //  此處 document.cookie 為空   } else {     alert('用戶名或密碼錯誤');   } }) .catch(error => {   alert('網(wǎng)絡(luò)錯誤'); });

預期結(jié)果：獲取到后端設(shè)置的 sessionid Cookie。

原因分析及解決方法

1. withCredentials 的作用: withCredentials: true 僅在發(fā)送請求時自動攜帶 Cookie，不影響客戶端直接讀取 document.cookie。document.cookie 用于讀取客戶端已有的 Cookie，而并非服務(wù)器返回的 Cookie。

2. HttpOnly 屬性: 如果服務(wù)器端設(shè)置了 Cookie 的 HttpOnly 屬性，則 JavaScript 代碼無法通過 document.cookie 訪問該 Cookie，這是出于安全考慮。 解決方法：檢查服務(wù)器端 Cookie 設(shè)置，確認是否設(shè)置了 HttpOnly 屬性。如果需要 JavaScript 訪問，則需移除該屬性。

3. 瀏覽器開發(fā)者工具檢查: 使用瀏覽器開發(fā)者工具（例如 chrome DevTools）的“Application”或“Network”標簽頁檢查 Cookie。 這可以確認 Cookie 是否已正確設(shè)置在瀏覽器中。

4. 驗證 withCredentials 的設(shè)置: 確保 withCredentials 在 fetch 或 XMLHttpRequest 請求中正確設(shè)置為 true。 檢查瀏覽器的控制臺，查看是否有任何網(wǎng)絡(luò)請求錯誤。

5. 后端 Session ID 傳輸方式: 后端可能并未通過 Cookie 傳輸 sessionid，而是通過響應(yīng)體中的其他字段（例如，響應(yīng)頭或 JSON 數(shù)據(jù)）返回。 解決方法：檢查后端 API 文檔，確認 sessionid 的傳輸方式。

6. 同源策略: 仔細檢查域名、協(xié)議和端口是否完全匹配。即使設(shè)置了 withCredentials，如果前后端域名不一致，也可能導致 Cookie 無法共享。

7. 緩存問題: 清除瀏覽器緩存，重新嘗試請求。

8. CORS 配置: 確保服務(wù)器端的 CORS 配置正確，允許 withCredentials 請求并指定允許的域名、方法和頭信息。

通過以上步驟，逐步排查問題，就能找到 document.cookie 為空的原因，并解決跨域請求中 Cookie 獲取的問題。 記住，document.cookie 只反映客戶端已有的 Cookie，而 withCredentials 負責在請求中攜帶 Cookie。 兩者作用不同，需要分開理解。