Chrome не посылает cookie с разрешенным CORS?

Question

[web3_Venture]

Я пытаюсь отправить POST запрос на другой домен. Установил для куки

SameSite = None ; Secure
Как это требуется в https://developer.mozilla.org/en-US/docs/Web/HTTP/...



Запрос делаю к HTTPS серверу использую AXIOS с параметром

{ withCredentials: true }

"withCredentials = true approach which enables sharing the credentials such as cookies, authorized headers between different domains."

Но в REQUEST не вижу что куки отправляются



Что за проблема? Что я упускаю?

К слову на сервере использую:

app.use(
    cors({
        credentials: true,
        //origin: true,
    origin: function (origin, callback) {
      callback(null, true);
    },
    })
);

Который возвращает мне такие заголовки cors

Answer 1

[OCTAGRAM]

На первом снимке куки из таблицы принадлежат домену localhost, а междоменный запрос отправляется на узел что-то-там.cyclic.app. С этим запросом могут быть отправлены только куки от родного домена что-то-там.cyclic.app или наддомена (.cyclic.app)

Comments

[web3_Venture]

так для этого и существует CORS ? разве нет?
SameSite=None +
"withCredentials = true approach which enables sharing the credentials such as cookies, authorized headers between different domains."

[3v4l]

web3_Venture, https://stackoverflow.com/a/46412839

[OCTAGRAM]

web3_Venture, кукисы можно передать, принадлежащие соответствующему домену, потому что простой CORS будет сделан вообще без кукисов, даже если пользователь авторизован на чужом сайте. С флагом withCredentials кукисы передаются, но только принадлежащие соответствующему домену. Между доменами они вообще никогда не смешиваются

[web3_Venture]

OCTAGRAM, хорошо. возможно я немного запутался, и ты после прочтения ниже это тоже ощутишь.

1) Если открыть данный сайт через chrome developer tools мы видим что у https://qna.habr.com/ (слева) есть разные куки на РАЗНЫЕ домены с "SameSite = None ; Secure"



2) Но когда я устанавливаю куки для другого домена (cyclic.app) , с теме же "SameSite = None ; Secure", то я вижу что у меня пустота (да да я жал сверху обновить и перезапускал хром).



При этом если я делаю запросы к cyclic.app с моего сайта, то COOKIE header подставляются в request! Хотя их нету в chrome dev tools. Если я зайду напрямую в cyclic.app и да ВОТ ОНИ видны через chrome dev tools.

Как сделать первый вариант , а не второй?

[Lynn «Кофеман»]

web3_Venture,
> есть разные куки на РАЗНЫЕ домены

Потому что хром показывает глупости

Эти куки ставили соответствующие сайты при запросах к ним.

[web3_Venture]

Lynn «Кофеман», и? тоесть это не возможно сделать? На многих сайтах именно такой вариант, а у меня супер уникальный единственный в своем роде сайт который "ломает хром"?

[OCTAGRAM]

web3_Venture, каждый домен единолично¹ решает, какие себе поставить куки.

• Кукис можно поставить средствами JavaScript, и для этого должна быть открыта новая вкладка, либо всплывающее окно, либо фрейм, с адресом в подходящем домене, и в этом фрейме может сработать скрипт, который обратится к document.cookies и установит кукис в подходящий домен
  
• Кукис можно поставить средствами HTTP-заголовков в ответ на запрос по адресу в подходящем домене. Это либо переход во фрейме, либо отправка формы во фрейме, либо подгрузка картинки/скрипта/и т.п. Либо междоменный запрос с withCredentials true. Если один междоменный запрос поставил кукисы, то другой междоменный запрос получает кукисы, которые были поставлены при прошлом запросе. Сам сервер должен захотеть поставить себе кукис, вы снаружи без участия сервера никак не сможете забросить в чужой домен ничего
  

¹Когда грузится всякая Яндекс.Метрика, сторонние чаты и т.п., это внешние скрипты, которые исполняются в контексте того фрейма, который загрузил их, а, значит, обращаясь к document.cookies, скрипты могут редактировать кукисы в чужом неяндексовом домене, но при этом скрипты могут и звонить домой в Яндекс, и при таких запросах участвуют и кукисы домена Яндекса.

[web3_Venture]

OCTAGRAM, Спасибо. Я этом разобрался. Как вы объясните скрин от хрома который показывает что к одному домену привязаны множество cookie с разным domain?
Просто баг хрома?



PS. У меня есть предположение что мы чегото не знаем. И это работает как scope , тоесть только когда с qna.habr -> ystatistic.net делается запрос привязываются только эти куки которые были поставлены только для qna.habr. Если мы просто откроем ystatistic.net то эти куки не будут прикреплены к запросам