Croce cookie di dominio utilizzando CORS in Safari

Question

ho seguito l'esempio: http://arunranga.com/examples/access-control/credentialedRequest.html

da questa pagina: http://arunranga.com/examples/access-control/

L'opera ad esempio in Firefox, ma non Safari, chiunque hanno cercato nell'attuazione CORS movimentazione trasversale dei cookie di dominio, e avere successo in Safari?

Grazie.

Answer 1

Sembra un bug di Safari. Ho appena verificato che i cookie interdominio non vengono impostati in Safari. I cookie su più domini funzionano in Chrome, quindi questo potrebbe essere corretto in WebKit e l'ultimo non è ancora arrivato su Safari. Non ho visto una segnalazione di bug su Safari o WebKit a riguardo.

Answer 2

Safari blocca anche i cookie dai siti che non sono stati visitati direttamente. Puoi vedere nelle impostazioni di sicurezza. L'impostazione predefinita è Accetta i cookie: "Solo dai siti che visito".

Questo vi aiuterà a iniziare. Setting cross-domain cookies in Safari

Ho jsonp che lavora in safari usando i metodi nel link sopra. Quindi supponevo che il cookie avrebbe funzionato nel contesto CORS, ma a questo punto non sembra funzionare. Inoltre, la modifica delle impostazioni di sicurezza sembra non avere alcun effetto.

Safari potrebbe richiedere un set di intestazioni più restrittivo da restituire?

Answer 3

L'ho riscontrato con app API/UI su diversi sottodomini di Heroku, come my-api.herokuapp.com e my-ui.herokuapp.com, il cookie di sessione è stato impostato per my-api.herokuapp.com. Anche visitare my-api.herokuapp.com non sembra aiutare Safari in questo caso con la sua politica predefinita "Solo dai siti che visito" @ 23inhouse menzionata: http://content.screencast.com/users/artemv/folders/Jing/media/4dfc08d7-0e9c-483f-a272-bbe91549ea95/00000759.png.

Tuttavia, Safari ha funzionato bene quando abbiamo assegnato un dominio personalizzato a queste app ed è diventato my-api.mydomain.com e my-ui.mydomain.com - quindi sembra che Safari abbia un rapporto di fiducia particolarmente basso con gli hoster più popolari 'sottodomini. In questo caso non era necessaria alcuna visita diretta a my-api.mydomain.com.