w13vitaliy
@w13vitaliy
self-taught developer since 2020

Выставление Cookie и получение их через Fetch API?

У меня есть запрос для получение csrf токена, который на сервере выставляеться в заголовок set-cookie он помещаеться но в хранилище не создаеться. Ответ выдает 200. Что делать? Через curl url все headers приходят. Запрос выполняеться с credentials: "include"
  • Вопрос задан
  • 109 просмотров
Пригласить эксперта
Ответы на вопрос 2
@antares4045
Сегодня браузеры стали черезчур умные и у них есть гигантское количество причин проигнорировать установку кукиса. Скорее всего (в случае браузеров на хромиуме (тоесть не в опере)) в инструментах разработчика в детализации запроса на вкладке HEADERS сразу за хедером респонса будет маленький желтый треугольник, наведя мышь на который вы сможете прочитать, в чём причина на этот раз.

Как то так например
61792042219ba341444647.png

Но в случае csrf, если у вас есть доступ к коду сервера, присоединюсь к рекомндации Надим Закиров, что лучше класть в специальный хедер и обрабатывать его уже джаваскриптом на стороне клиета: за последний год у одного крупного клиента моей фирмы три раза умирали веб приложения для бизнес аналитики купленные за шестизначные суммы из-за обновления политики безопасности хрома, который просто начинал игнорировать кукисы, потому что кого-то так взломали.
Ответ написан
@zkrvndm
Боты, парсеры, расширения
Токен нужно отдавать отдельным заголовком, не нужно его в куки помещать.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы