Почему не устанавливаются cookie?

Question

[Galaxy773]

Использую localhost для тестирования сайта. Фронтенд на localhost:63343, Бекенд на localhost:8081.
Отправлю post запрос с фронтенда, в ответ получаю set-cookie, но они почему то не устанавливаются.

Код отправки запрос:

$.ajax({
    url: "http://localhost:8081/sign",
    type: "POST",
    //я не разбираюсь в этих двух параметрах, пробовал исправить сам таким образом
    credentials: "include",
    withCredentials: true,
    data: {
        action: "register"
    }
});

Код отправки ответа:

String sessionId = "dawd";
String response = "dawd";

HttpCookie httpCookie = new HttpCookie("session_id", sessionId);
httpCookie.setDomain("localhost");
httpCookie.setPath("/");
httpCookie.setSecure(false);
httpCookie.setHttpOnly(true);

exchange.getResponseHeaders().add("Set-Cookie", httpCookie.toString());
exchange.getResponseHeaders().add("Access-Control-Allow-Origin", "*");
exchange.getResponseHeaders().add("Access-Control-Allow-Credentials", "true");
exchange.sendResponseHeaders(200, response.length());

OutputStream os = exchange.getResponseBody();
os.write(response.getBytes());
os.close();

Заголовки ответа:

Access-control-allow-credentials: true
Access-control-allow-origin: *
Content-length: 1
Date: Sun, 05 Mar 2023 07:52:32 GMT
Set-cookie: session_id="dawd";$Path="/";$Domain="localhost"

Как это исправить?

Comments

[Alexandroppolus]

А точно не устанавливаются? Открой в браузере страницу localhost:8081 , и посмотри какие там кукисы

[Galaxy773]

Alexandroppolus,

на 8081 нет ничего

[Alexandroppolus]

Galaxy773, на картинке указан порт 63343. Ты для 8081 тоже посмотрел?

попробуй для эксперимента убрать строку httpCookie.setDomain("localhost"); и посмотреть 8081

[Galaxy773]

Alexandroppolus, если домены одинаковые, то все работает (с 8081 на 8081 - куки нормально ставятся). Но проблема в том, что у меня фронтенд и бекенд на разных портах и из-за этого куки не ставятся (cross origin requests)

[Alexandroppolus]

Galaxy773, кукисы должны проставляться независимо от того, с какого домена ты отправил запрос. А благодаря Access-control-allow-credentials: true браузер позволяет прочитать ответ.

Но ты неправильно воткнул withCredentials. См. документацию - https://api.jquery.com/jquery.ajax/ . Из-за отсутствия правильного withCredentials запросы на 8081 идут без кукисов

[Galaxy773]

Alexandroppolus, если я правильно понимаю, куки не проставляются из-за защиты браузеров от csrf.
У меня получилось исправить:

xhrFields: {
    withCredentials: true
},
crossDomain: true,

exchange.getResponseHeaders().add("Access-Control-Allow-Origin", exchange.getRequestHeaders().getFirst("Origin"));
exchange.getResponseHeaders().add("Access-Control-Allow-Credentials", "true");

[Alexandroppolus]

Galaxy773,

из-за защиты браузеров от csrf

нет, csrf тут никаким боком.

у тебя исправлено ещё и Access-control-allow-origin: *, я совсем забыл что со звездочкой авторизованные запросы не работают, хотя в учебнике об этом сказано....