xmlHttp.getResponseHeader + Не работает для CORS

У меня есть asp.NET WCF на .NET 4. Эта служба используется для аутентификации пользователей. Мы отправляем имя пользователя и пароль, а затем заголовок HTTP должен быть возвращен с включенным cookie аутентификации. Используя локальную тестовую страницу, она работает правильно. Теперь я пытаюсь получить доступ к перекрестной домену информации заголовка. Я установил свою тестовую страницу на другой машине и настроен на вызов в дополнение к WCF. Вызов работает, и ответ «данные» в вызове правильный. Однако я не могу получить доступ к информации заголовка одним из следующих способов:

alert(xmlHttp.getAllResponseHeaders()); 

или

  alert(xmlHttp.getResponseHeader("Set-Cookie")); 

Используя отладчик в IE и «Live HTTP Header» для Firefox, я вижу, что информация заголовка возвращается.

На моей глобальной странице ajax я устанавливаю ответ для обработки CORS.

  private void EnableCrossDomainAjaxCall() { HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "*"); if (HttpContext.Current.Request.HttpMethod == "OPTIONS") { HttpContext.Current.Response.AddHeader("Cache-Control", "no-cache"); HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept"); HttpContext.Current.Response.AddHeader("Access-Control-Max-Age", "1728000"); HttpContext.Current.Response.End(); } } 

Это AJAX, который я использую для вызова службы:

 $("#btnLogin").click(function (e) { var geturl; geturl = $.ajax({ // type: "POST", type: "GET", contentType: "application/json; charset=utf-8", url: 'http://10.0.4.66/AuthenticationService.svc/Login?Name=test&password=pwsd', // url: '../SecurityServer/AuthenticationService.svc/Login?Name=test&password=pwsd', dataType: "jsonp", error: function (request, status, error) { alert('Error Occured'); }, crossdomain: true, success: function (data, textStatus, xmlHttp) { // alert(xmlHttp.getResponseHeader("Content-Type")); document.write(xmlHttp.getResponseHeader("Content-Type") + "
"); alert(xmlHttp.getAllResponseHeaders()); alert(xmlHttp.getResponseHeader("Set-Cookie")); var headers = ''; var headerPair = xmlHttp.getAllResponseHeaders('wcfCookie').split("\r\n"); var output = ''; $.each(headerPair, function (key, line) { var parts = line.split(':'); if (parts[0] == 'wcfCookie') { ChocChip = parts[1] return false } }); } });

Ниже приведена информация моего заголовка, взятая из ‘Live HTTP headers’

 Date: Mon, 04 Feb 2013 12:12:40 GMT Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET X-AspNet-Version: 4.0.30319 Access-Control-Allow-Origin: * Set-Cookie: wcfCookie=8D38D5D6A0F138FEB595DD016F7694EDDF3E6757C82ED3D419F5047A5294974C1885487465CEC0A0BCC2B3802C7B03FF9F5370A05D4CCBDDDABCB1558C3816044BF4F78209BF38C6B1A7CAD34CD3C85C40B8515CFB1C2B2694BC78803D8DACB4 Content-Length: 65 Cache-Control: application/json; charset=utf-8 Content-Type: application/x-javascript 

    Во-первых, небольшой фон:

    Вы используете Access-Control-Allow-Headers , который указывает, какие заголовки запросов клиенту разрешено отправлять , но вы не указываете, какие заголовки ответов разрешено клиенту читать . Чтобы клиент мог читать непростые заголовки ответов, вам нужно использовать Access-Control-Expose-Headers . На странице HTML5 Rocks CORS :

    Во время запроса CORS метод getResponseHeader() может получить доступ только к простым заголовкам ответов. Простые заголовки ответов определяются следующим образом:

    • Cache-Control
    • Content-Language
    • Тип содержимого
    • Истекает
    • Последнее изменение
    • Pragma

    Если вы хотите, чтобы клиенты имели доступ к другим заголовкам, вам нужно использовать заголовок Access-Control-Expose-Headers . Значение этого заголовка представляет собой список заголовков ответов с разделителями-запятыми, которые вы хотите открыть клиенту.

    Итак, учитывая эту новую информацию, вы можете:

     HttpContext.Current.Response.AddHeader("Access-Control-Expose-Headers", "Set-Cookie"); 

    … но есть нечто большее, чем это.

    Теперь, фактический ответ:

    Здесь есть еще одна серьезная проблема: спецификация XHR явно запрещает чтение Set-Cookie . Это потому, что это функционально кросс-доменная хитрость .

    Предположим, что домен A выполняет междоменный запрос в домен B. Когда домен B устанавливает cookies, он устанавливает cookie только для домена только для домена B. Любая попытка домена A для чтения файлов cookie домена B является нарушением политики одинакового происхождения для доступа к файлам cookie.

    Я не знаю WCF, поэтому я не уверен, что лучше всего делать то, что вы хотите, но я бы предположил, что решение может состоять в том, чтобы передать токен аутентификации не через cookies (например, X-WCF-Auth заголовок?), который домен A читает, а затем устанавливает свой собственный файл cookie.

    Политики безопасности браузера могут блокировать ваш ответ, потому что вы не установили:

     HttpContext.Current.Response.AddHeader("Access-Control-Allow-Credentials","true"); 

    Если это не помогает, попробуйте добавить

     xhrFields: { withCredentials: true } 

    к вашим вариантам ajax также может быть стоит.

    Interesting Posts
    Давайте будем гением компьютера.