Как установить куки при кроссдоменном AJAX запросе?

Question

[Vadym Masiuk]

Имеется вопрос об установке междоменных/сторонних/3rd party или как ещё говорят межсайтовых cookie.
Имеется 2 домена (имена упрощены для большей ясности и лучшего понимания):

1. public.com (отсюда осуществляется отправка формы на 2ой домен AJAX-ом )
2. 3rdparty.com (принимает только AJAX запросы, написан на PHP)

К обоим доменам есть полный доступ, но они находятся на разных серверах/IP.
На 2ом домене в том числе есть возможность установить заголовки:

header('Access-Control-Allow-Credentials: true');
header('Access-Control-Allow-Origin: https://public.com');

Вопрос: какие в 2020 году есть хорошие варианты установки $_COOKIE для домена 3rdparty.com при посещении пользователем public.com?

Answer 1

[Иван Шумов]

Нет. Это невозможно. Если вы делаете единый логин то тут используются технологии Single Sign On

Comments

[Vadym Masiuk]

Нет, не совсем логин, нам доступ к этим кукам нужен только на том же домене 3rdparty.com (домен №2). Собственно суть установить куку на 2ом домене при посещении пользователем домена 1, чтобы в дальнейшем её можно было читать на том же домене 2 при следующих запросах с домена 1.
Почему же вы говорите что это нельзя? Чтобы далеко не бегать возьмём тот же Yandex или Google, у них все юзеры от сайта к сайту следятся по ихней куке) На самом деле это возможно, и даже неплохо работает с озвучеными заголовками, сейчас же у меня вопрос: как это лучше сделать и кто как делает это в 2020?

[Иван Шумов]

Vadym Masiuk, то что вы хотите это, действительно невозможно. Куки нельзя прочитать с другого домена, никак. Ч то касается яндекса и гугла то тут несколько моментов:

• если мы говорим о метрике то куки ставятся на их домен, централизовано
  
• если мы говорим о пользователях сервиса то у них есть SSO, через которое все работает и когда вы заходите в сервис то подтягиваются пользовательские данные через их SSO
  

[Иван Шумов]

Vadym Masiuk, как бы если вы видите что что-то работает это не значит что оно работает именно так как вам кажется

[Vadym Masiuk]

Иван Шумов, я думаю, вы суть упускаете, или просто не читали внимательно вопрос и комментарий, мне НЕ НУЖНО читать куки с другого домена. Я её буду читать на том же домене где она и была установлена, а именно 3rdparty.com. Блин, надеюсь доступно обьяснил... Ранее мы использовали псевдо-картинку, iframe, делали dummy запрос на сервер и.тд. Как сейчас люди это делают?

[Иван Шумов]

Vadym Masiuk, кажется у кого-то явно проблема с формулировкой. Чтобы было более понятно. На клиенте в браузере может работать только JS. JS имеет доступ только к кукам, установленным на этот домен или более высокий по иерархии. JS выполняется в рамках контекста домена. Куки с любого другого домена он не получит никогда сколько бы там ресурсов с разных доменов не приходило. Даже если вы подключите JS скрипт с другого домена и выполните его - он не будет иметь доступа к кукам со своего родного домена, с которого загружен скрипт

[Vadym Masiuk]

Ещё раз попытаюсь по шагам:
1. Пользователь зашёл на сайт A
2. Этот же пользователь на сайте А отправил реквест по ajax'у домену B с параметром request.withCredentials = true;
3. Домен В устанавливает куку для домена В например с текущим временем
4. Через 20 минут этот же пользователь на сайте А отправил форму на домен B уже кнопкой
5. Домен В получил куки которые он выставил на шаге 3
Как вы думаете это возможно, или я придумываю?

[Иван Шумов]

Vadym Masiuk, что значит кнопкой? Если кнопка работает через AJAX то все будет работать из коробки по тому что куки хранятся в браузере. Отправляйте хоть с 10000 сайтов AJAX на один - у этого одного будет единый набор Кук для одного пользователя. А вот если отправка через сервер то все, забудьте

[Иван Шумов]

Vadym Masiuk, если бы можно было как-то получить куки с другого домена из браузера то, например, онлайн-банкинга не могло бы существовать из соображений безопасности

[Vadym Masiuk]

Блин, дашожтакое?! То что Вы говорите это всё понятно, я не отрицаю, всё правильно говорите. У меня другой вопрос. Я спрашиваю какой вариант самый наименее ресурсозатратный для клиента, и вообще хочу освежить знания какие ещё варианты есть на текущий момент?

[Иван Шумов]

Vadym Masiuk, А я пытаюсь проблему понять. HTTP протокол как и браузеры концептуально оне менялись с момента их изобретения. Ничего нового со времени появления той или иной технологии не изобрели

[Иван Шумов]

Vadym Masiuk, и да, изначальный вопрос

Вопрос: какие в 2020 году есть хорошие варианты установки $_COOKIE для домена 3rdparty.com при посещении пользователем public.com?

и так подразумевает только один ответ: НЕВОЗМОЖНО

[Иван Шумов]

Vadym Masiuk,

Я спрашиваю какой вариант самый наименее ресурсозатратный для клиента

клиенту плевать. У него есть калькуляция DOM, CSS и JS. Это единственное что создает нагрузку на клиент.

хочу освежить знания какие ещё варианты есть на текущий момент

почитать RFC на спецификации HTTP 1.1 и более свежие

Answer 2

[Kano]

Почти точно так же как раньше, но есть небольшие дополнения.
Первое что нужно сделать это полностью перейти на https (если хотим что бы в хроме не хромало).
Сделать ajax запрос до 3rdparty.com что бы тот выставил куку, перед этим указав
req.withCredentials = true
Сервер на этот запрос должен дать ответ с нужными заголовками, например:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin: https://public.com
Vary: Origin

И конечно установить саму куку

Set-Cookie: {CookieName}={CookieValue}; Max-Age=63072000; Path=/; SameSite=None; Domain=.3rdparty.com; HttpOnly; Secure

Особо хочу отметить заголовок "Access-Control-Allow-Origin" который всегда должен иметь конкретное значение, никаких подстановочных знаков.
А также обязательные атрибуты заголовка "Set-Cookie" - "SameSite=None" и "Secure"

Этот не будет работать на всех устройствах под ios и вроде бы в огненной лисе (там вообще запрещены кросдоменные куки если пользователь не посещал сайт который выставляет куку в основном окне браузера).

Answer 3

[psiklop]

У меня тоже к сожалению все старые способы перестали работать, они еще работают, но мало где.
Есть один муторный, но 100% рабочий способ:

1. Я открываю окно методом open на другой домен, делаю его максимально незаметным.
2. Читаю куку и передаю назад через postMessage метод.