ブラウザが応答ヘッダーからクッキーを保持しない

Question

私はおそらく単純で簡単なことをしようとしています：クッキーを設定してください！しかし、ブラウザ（ChromeとSafariでテスト済み）は単純に無視しています。 だから、レスポンスヘッダは次のようになります。

Access-Control-Allow-Credentials:true 
Access-Control-Allow-Origin:* 
Connection:keep-alive 
Content-Encoding:gzip 
Content-Type:application/json; charset=utf-8 
Date:Wed, 19 Jul 2017 04:51:51 GMT 
Server:nginx 
Set-Cookie:UserAuth=<some jwt>; Path=/; Domain=10.10.1.110; Expires=Wed, 19 Jul 2017 12:51:51 GMT; HttpOnly; Secure 
Transfer-Encoding:chunked 
Vary:Origin 

を行い要求がwithCredentials=trueが含まれます。 しかし、ChromeのCookieセクションは空です。私はドメインを完全に削除しようとしましたが、パスを削除することはできますが、私が考えることができるすべての設定が、ブラウザはボールを再生しません。

私には何が欠けていますか？

Answer 1

したがって、元のリクエストには、XMlHttpRequest設定オブジェクトで設定されているのではなく、リクエストヘッダーとして 'withCredentials = true'があることがわかりました。

Answer 2

あなたのクッキーが表示されます HttpOnly; 安全です。クッキーを生成するときにHttpOnlyのフラグを使用して

は、secureフラグの目的は、伝送のために権限のない者によって観察されることからクッキーを防ぐために保護されたクッキー

にアクセスするクライアント側のスクリプトのリスクを軽減しますクッキーはクリアテキストで表示されます。 セキュアフラグを設定することにより、ブラウザは暗号化されていないチャネルを介してクッキーの送信を防止します。

TLSレイヤのセキュアフラグを使用してHTTPを通過すると、Cookieが中断されます。 あなたの好みを確認し、それに応じてクッキーの設定をしてください。