發送預檢（OPTIONS）使用crendentianals的AJAX請求

Question

我有一個使用服務器端API的客戶端應用程序。客戶端和服務器端應用程序放置在不同的域上。會話ID放在服務器端的Cookie中。所以，客戶端應用程序應該在每個AJAX請求中發送cookie。我在Xhr對象中使用withCredentials選項來發送包含每個AJAX請求的標頭。問題是預檢OPTIONS請求中沒有標題。但我需要這個cookie，因爲服務器端應該知道誰發送了這個請求，因爲每個用戶都有自己的路由。

Answer 1

實際上，瀏覽器永遠不會在OPTIONS請求上發送憑據。這些請求允許瀏覽器檢索Access-Control-*響應標頭。 看看CORS Article on MDN，討論在XMLHttpRequest和Access-Control-Allow-Credentials中使用withCredentials的迴應。瀏覽器將拒絕任何不包含Access-Control-Allow-Credentials: true標題的響應，而不是將響應提供給調用Web內容。

另外，考慮使用Token-Auth而不是Cookies。 Good read here