springboot解决ajax跨域访问，session丢失的问题

原创

wx61133eeec1457 2021-09-28 18:30:37 ©著作权

文章标签 ajax javascript 跨域安全机制 spring 文章分类 JavaScript 前端开发

©著作权归作者所有：来自51CTO博客作者wx61133eeec1457的原创作品，请联系作者获取转载授权，否则将追究法律责任

1、前端ajax

$.ajax({

url: url,

type: 'post',

xhrFields: {withCredentials:true}, //前端适配：允许session跨域

data: data,

success: function(data) {

}

});

ajax加上这两句

xhrFields: {withCredentials:true}, //前端适配：允许session跨域

2、后台Controller类加注解 SpringBoot 2.5.2

@CrossOrigin(originPatterns="*", allowCredentials="true", allowedHeaders = "*"   )  // 前端跨域解决   DEFAULT_ALLOWED_HEADERS：允许跨域传输所有的header参数，将用于使用token放入header域 做session共享的跨域请求

3.在中转的业务方法增加

// springboot里面多加了samesite这个设置，需要降低其等级  去掉session会话共享会失败。
ResponseCookie cookie = ResponseCookie.from("JSESSIONID", httpServletRequest.getSession().getId() ) // key & value
        .httpOnly(true)       // 禁止js读取
        .secure(true)     // 在http下也传输
        .domain("localhost")// 域名
        .path("/")       // path
        .maxAge(3600)  // 1个小时候过期
        .sameSite("None")  // 大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外
        .build()
        ;
httpServletResponse.setHeader(HttpHeaders.SET_COOKIE, cookie.toString());

补充！本质原因如下：

由于谷歌浏览器的SameSite安全机制的问题，浏览器在跨域的时候不允许request请求携带cookie，导致每次sessionId都是新的，这里有个出问题前提：跨域，刚好和调试时的环境情况一致。浏览器版本chrome 93.0.4577.82（谷歌游览器好像从80版本之后就加入了SameSite安全机制）,直接在地址栏里输入chrome://flags/，然后在搜索框里搜索关键字SameSite,找到与之匹配的项SameSite by default cookies，将其设置为Disabled,然后关闭浏览器再打开，ok了