Php 具有会话/cookie的CORS请求_Php_Session_Cookies_Cors

Php 具有会话/cookie的CORS请求

php session cookies cors

Php 具有会话/cookie的CORS请求,php,session,cookies,cors,Php,Session,Cookies,Cors,我的应用程序有一个PHP服务器和一个客户端（一个JS单页应用程序）。它们是独立的项目，部署在不同的域中。客户端使用服务器公开的RESTful API 此应用程序将与处理身份验证的第三方集成，因此用户无法直接登录。我们的服务器只接收一个SSO令牌（该令牌经过适当的签名，以便我们验证其完整性）我们还为所有请求在传输层实施安全性我想做的是，一旦验证了SSO令牌，启动我自己的会话，然后将用户重定向到客户端。我以为一旦创建了会话，浏览器就会在异步API调用中自动发送正确的Cookie头，但事实似乎并非

我的应用程序有一个PHP服务器和一个客户端（一个JS单页应用程序）。它们是独立的项目，部署在不同的域中。客户端使用服务器公开的RESTful API

此应用程序将与处理身份验证的第三方集成，因此用户无法直接登录。我们的服务器只接收一个SSO令牌（该令牌经过适当的签名，以便我们验证其完整性）

我们还为所有请求在传输层实施安全性

我想做的是，一旦验证了SSO令牌，启动我自己的会话，然后将用户重定向到客户端。我以为一旦创建了会话，浏览器就会在异步API调用中自动发送正确的Cookie头，但事实似乎并非如此

这是出于安全原因故意禁用的吗？

对于要包含cookie的跨源XHR请求，必须设置为

true

CORS响应还必须说

访问控制允许凭据：true

（这就是为什么

宽度凭据

默认为

false

）

我认为一旦创建了会话，浏览器就会在异步API调用中自动发送正确的Cookie头

不适用于启用CORS的资源的跨域请求（如果我正确理解您描述的设置，这里似乎就是这种情况。）

要实现这一点，您需要设置标志。

非常感谢。这很有效。我接受这个答案而不是@CBroe的答案，因为这个答案还提到了

accesscontrolallowcredentials

标题。作为旁注，

访问控制允许原点

不能是通配符（

）。