Надеюсь, это просто ответить.
Какие файлы cookie отправляются при запросе с учетными данными в XHR2?
Я следил за статьей MDN о учетные данные, и показывает, что вместе с запросом отправляется файл cookie pageAccess=2. Однако это не объясняет, откуда берется этот файл cookie и почему именно этот файл cookie отправляется. Просто ли все файлы cookie, установленные страницей, отправляются в любом запросе с учетными данными?
Со страницы HTML5 Rocks в CORS:
Свойство
.withCredentialsбудет включать в запрос все файлы cookie из удаленного домена, а также устанавливать все файлы cookie из удаленного домена.
Я предполагаю, что «любые файлы cookie» означают «все файлы cookie» (вероятно, с пометкой HTTPS-only в файле cookie), поскольку в XHR2 нет механизма для указания файлов cookie.
Отправляемые файлы cookie — это файлы cookie, установленные удаленным доменом: если foo.com отправляет запрос с учетными данными на bar.com, все файлы cookie, установленные bar.com, отправляются. Чтобы представить это на практике, предположим, что facebook.com имеет API с поддержкой CORS, для использования которого необходимо войти в систему. Я вошел в Facebook ранее в сеансе браузера, но сейчас я просматриваю foo.com, который будет использовать API Facebook от моего имени. foo.com просит веб-браузер отправить междоменный запрос на facebook.com вместе со всеми моими facebook.com файлами cookie, чтобы Facebook знал, кто я и что я уже прошел аутентификацию в Facebook.
