最新cookie跨域解决方法

开篇前，需要先了解一下cros机制：

简介:CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

跨域资源：各种资源请求，比如页面的css，js文件，或者XMLHttpRequest请求；
请求类型：简单类型，非简单类型；

简单跨域：

（1) 请求方法是以下三种方法之一：HEAD，GET，POST

（2）HTTP的头信息不超出以下几种字段：AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

这个时候，一般在满足服务器以下设置，都是可以正确返回请求的

Access-Control-Allow-Origin:http://api.bob.com
Access-Control-Allow-Credentials:true
Access-Control-Expose-Headers:FooBar
Content-Type:text/html; charset=utf-8

另外注意：CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发到服务器，一方面要服务器同意，还需指定Access-Control-Allow-Credentials字段。

非简单请求：

多一个步骤，先发送预检请求（option），预检请求通过之后，以后每次浏览器正常的CORS请求，就都跟简单请求一样，会有一个Origin头信息字段。服务器的回应，也都会有一个Access-Control-Allow-Origin头信息字段

下面就是今天的重点cookie,跨域设置。

MDN 页面里的cookie

我现在在做的一个项目是通过cookie进行保存用户登录信息的。

cookie有很多好处，但也有很多限制。今天想记录以下其中cookie中的一个domain属性；

domain属性，是用来限制cookie的可使用范围，来保证信息安全。如自己开发的A域名页面的用户信息，B域名页面取不到。

但需求千变万化，总有产品需求要求开发做到B或C域名页面拿到A域名的cookie。浏览器也帮我们想到了这个可能，所以在XMLHttpRequest对象里有个withCredentials属性，值为true,时就可跨域取值。

 以下是从MDN摘抄的withCredentials的定义。

XMLHttpRequest.withCredentials  属性是一个Boolean类型，它指示了是否该使用类似cookies,authorization headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个跨站点访问控制（cross-site Access-Control）请求。在同一个站点下使用withCredentials属性是无效的。

但是！！这些都不是重点！ 

我最近更新了chrome版本至v80.*.*,  发现withCredentials居然没用了。跨域请求里cookie已经拿不到了。（PS：其他浏览器正常）

chrome更新版本

查了半天，找到了chrome80版本的声明

cookie更改

大致就是说80以后的版本，cookie默认不可跨域，除非服务器在响应头里再设置same-site属性为none（捂脸），和secure属性。

same-site有3种值可以设置：strict，lax，none

其他2种就不介绍了。只说none，大概如下这样:

same-site= none的赋值方式