Как отправить куки?

Question

[Александр Маджугин]

Есть сайт A на котором работает js отпрвляющий запросы к api сайта B. Сайты на разных доменах.

Api сайта B выдает разные результат в зависимости от того авторизован на нем пользователь или нет.

Однако при отправки запросов со страницы сайта A, пользователь всегда неавторизован на B. Очевидно js не передает куки сайта B выполняя запрос со страницы сайта A.

Есть возможность это обойти? Оба ресурса полностью доступны в части управления и администрирования.

ИИ предлагает добавить Access-Control-Allow-Credentials, но ведь это просто позволит с сайта B устанавливать куки. А мне необходимо чтобы пользователь авторизованный на сайте B, зайдя на A получил данные с B с учетом авторизации.

Comments

[Евгений]

Сайт B, если всё правильно, и если там авторизация через куку, вернёт куку в ответ, она запишется в виде файла на хост, а дальше автоматом будет отправляться с каждым следующим запросом на сайт B, опять-же если всё сделано правильно.

[Александр Маджугин]

Евгений, нет. Как я понял так уже давно не работает.
Учитывается источник запроса. И если домен отличается от домена к которому выполняется запрос, то куки не будут отправлены.
Речь именно о домене источника, а не запроса. Т.е. при отправке запроса jsом, к сайту B, со страницы сайта A, куки установленные сайтом B не уйдут. Соотвественно и авторизации на сайте B не будет.

[AUser0]

Александр Маджугин, рекомендуется ознакомиться: https://habr.com/ru/companies/avito/articles/710674/

[rPman]

Александр Маджугин, добавь информацию о РАЗНЫХ доменах в вопрос

[Lynn «Кофеман»]

А как запрос отправляется?

[Александр Маджугин]

Lynn «Кофеман», ну допустим fetch

[Lynn «Кофеман»]

Александр Маджугин, ну, допустим, у fetch надо выставлять настройки mode:cors и credentials:include и сайт Б должен ответить с правильными заголовками Access-Control-Allow-Credentials и Access-Control-Allow-Origin.

[Александр Маджугин]

Lynn «Кофеман», добавил вот так:

fetch('https://mysite.com/api/v1/user/id/', {
  mode: 'cors',
  credentials: 'include'
})
  .then(response => {
    if (!response.ok) {
      throw new Error('Network response was not ok');
    }
    return response.json();
  })
  .then(data => {
    console.log(data);
  })
  .catch(error => {
    console.error('There was a problem with the fetch operation:', error);
  });

Не помогает ((

сайт Б должен ответить с правильными заголовками Access-Control-Allow-Credentials и Access-Control-Allow-Origin.

Вот это вот особенно не понятная меня часть. Ну то-есть с Access-Control-Allow-Origin понятно - если его не будет, браузер просто ошибку CORS выбросит. Но что может дать Access-Control-Allow-Credentials? Как этот заголовок который вернется в скрипт, может повлиять, на ответ сервера Б, сегенерированный до того как Access-Control-Allow-Credentials получен скриптом?

Вы очевидно разбираетесь в вопросе и понимаете что никак. Следовательно выходит что я плохо объяснил задачу.

Итак - есть два сайта независимых - А и Б. Сотрудники работают в системе Б. Сайт A - это публичный сайт компании. Часть информации на нем отображается с сайта Б, ее js на странице сайта А получает через api сайта Б. И вот для сотрудников которые заходят на сайт А, информация должно содержать дополнительные данные. Поэтому при выполнении запроса к Б, Б должен понять что этот запрос выполняется из браузера сотрудники и отдать более полный комплект данных. Все должно быть максимально просто и прозрачно для сотрудников, поэтому никакой допавторизации в скрипте на А быть не должно

[Lynn «Кофеман»]

Александр Маджугин, надо ещё проверить с каким флагом SameSite выставлены куки на домене Б. Должен быть SameSite=None

https://developer.mozilla.org/en-US/docs/Web/HTTP/...

И есть ещё третья сторона, браузер может решить что надо «защитить» пользователя, и как с этим бороться это уже совсем чёрная магия.

[Lynn «Кофеман»]

Александр Маджугин, если не будет Access-Control-Allow-Credentials, то браузер просто выкинет ошибку

[Александр Маджугин]

Lynn «Кофеман», SameSite - похоже это. Он не установлен, и по умолочанию значит Lax, соотвественно куки не отправляются при кроссдоменном запросе

Answer 1

[rPman]

https://developer.mozilla.org/ru/docs/Web/HTTP/Gui...

document.cookie = "name=value; domain=.example.com; path=/";

будет работать для всех поддоменов example.com

p.s. если без куки, данные добавляли как get параметр запросов (ну а на сервере сохраняй и передавай уже любыми способами), это будет работать на любых доменах в любых ситуациях

upd. для разных доменов можно через iframe
размести на странице домена A iframe на страницу на домене B, на которой скрипт отправит postMessage с нужными данными на страницу A

из iframe на основную страницу:
window.parent.postMessage({данные:xxx,..})
или наоборот:
iframe.contentWindow.postMessage(...)
слушать сообщения:

window.addEventListener('message', function(event) {
  // Проверяем источник сообщения для безопасности
  if (event.origin === 'https://первый-домен.com') {
    // данные в event.data
    ...
  }
}, false);

https://developer.mozilla.org/en-US/docs/Web/API/W...
https://developer.mozilla.org/en-US/docs/Web/API/W...

Comments

[Александр Маджугин]

Вы поняли вообще вопрос?
А как же я их получу? Куки-то другого домена?

[rPman]

в вопросе вообще не было про домены, да и сейчас что они разные

через iframe, дополнил ответ