- 主题:关于session id的一个问题
用 CORS 要先考虑清楚是不是可以放弃一些老的客户端
IE 8 以前的版本完全不支持
IE 8、9 有一些支持,但不完整
Android 4.0 以前的版本的 CORS 实现有严重 bug
cookie 是属于某个域的,要么把 cookie 设到 A、B 的共同的父域名上(如果有的话),要么用其他方式传 sid 过去
【 在 allover (2012) 的大作中提到: 】
: 在B的apache配置里面增加类似如下的配置,允许跨域.
: Header set Access-Control-Allow-Origin %{CORS}e env=CORS
: 这个会有什么问题么?
: ...................
--
FROM 211.99.222.*
【 在 allover (2012) 的大作中提到: 】
: 用firefox,IE 9, chrome, 用CORS来做post的跨域没问题,可以收到response,拿到
: 需要的数据。
如果能保证没有用户使用 IE 6、7,那当然可以
: 但是在window.open的时候,session id不再是刚才post请求的session id。(这两个
: 请求有相关性,需要共享服务器的 session)
上面已经回答过你了,如果不清楚 cookie 是怎么回事,就先别随便猜了,找篇文章看看先
--
FROM 211.99.222.*
不能动 B 的代码,那悬。。
如果没有 B 的配合就可以拿到 B 的数据,那别人也可以随便偷你的网站的数据了。ajax、cookie 默认都要限制在同一域名下,本来就是为了防止这种攻击行为。。
【 在 allover (2012) 的大作中提到: 】
: A是我的,B不是。
: 目前为了测试,B我是部署在了我这边,生成环境上不能动B的代码。
--
修改:vonNeumann FROM 211.99.222.*
FROM 211.99.222.*