异步跨域 cookie 在 IOS 和 Andriod 的 Safari 或 WebView 中无法写入

跨域配置:
当入口页面与后端接口没有部署在同域(协议/域名(IP)/端口)时,需要进行跨域配置。
简单请求时,不能携带跨域凭证信息(如 cookie ),只需要后端接口返回 Access-Control-Allow-Origin:* 协议头即可。
预请求时,可携带跨域凭证信息(如 cookie ),但需要前端异步请求设置 withCredentials=true 标志,后端接口返回 Access-Control-Allow-Credentials:true 和 Access-Control-Allow-Origin:http://example 协议头,不能使用 * 占位符。
以上配置在标准浏览器实现中可正常使用,如 Andriod 6.0 平台的 Chrome 或系统自带浏览器都没问题。但 Andriod 6.0 平台的 WebView 以及 IOS 10 平台的 Safari 浏览器和 WebView 在使用“预请求”模式时,无法写入跨域 cookie 。
查询资料后发现是第三方 cookie 的隐私策略造成。 Android 5.0 之后,对于 WebView 需调用 setAcceptThirdPartyCookies 方法, IOS 7.0 之后,对于 WebView 需设置 setCookieAcceptPolicy 配置,允许第三方 cookie 存储。
变通的解决方案是,用户访问后端域下的中转页,中转页写入(非 Session 级别?) cookie 并(302/meta/js)跳转至前端域下的入口页面,此时入口页面即可正常使用“预请求”模式。
注意 Safari 开发人员工具中记录的 request 通讯,似乎并未正确显示应携带的跨域 cookie 数据,但后端确实接收到了该数据。

参考:
HTTP访问控制(CORS)
苹果手机IOS全版本safari浏览器和Android 6.0 Webview 跨域请求(CORS)时,不带cookies问题
Android 5.0 行为变更
Cookies and Custom Protocols
第一方Cookie和第三方Cookie区别
关于p3p简洁策略,以及浏览器的支持情况.
记一次iphone 微信内置浏览器跨域无法获取cookie问题的解决方法
safari浏览器cookie问题

发表评论

电子邮件地址不会被公开。 必填项已用*标注