深入解析 Fetch API 的 credentials 属性：Cookie 携带机制

深入解析 Fetch API 的 credentials 属性：Cookie 携带机制

引言：为什么需要关注 credentials 属性？

在现代 Web 开发中，Fetch API 已成为发起网络请求的标准方式。其中 credentials 属性控制着请求是否携带身份凭证（如 Cookie、HTTP 认证等），这直接关系到用户认证状态和跨域资源共享（CORS）的实现。理解其工作原理对构建安全的 Web 应用至关重要。

一、credentials 的三种配置模式

1. credentials: 'omit'

行为：从不发送任何凭证
适用场景：公开 API、静态资源请求
安全级别：⭐️⭐️⭐️⭐️⭐️

fetch('https://api.example.com/data', {credentials: 'omit'
})

2. credentials: 'same-origin'

行为：仅在同源请求时发送凭证
适用场景：同源 API 调用
安全级别：⭐️⭐️⭐️⭐️

fetch('/api/user', {credentials: 'same-origin'
})

3. credentials: 'include'

行为：总是发送凭证（包括跨域请求）
适用场景：跨域认证、单点登录(SSO)
安全级别：⭐️⭐️⭐️（需额外防护）

fetch('https://auth.example.com/session', {credentials: 'include'
})

二、关键概念解析

1. 同源 vs 同站 vs 跨站

2. Cookie 作用域属性

三、实战场景分析

基础场景设定

• 当前页面 URL：https://app.example.com/dashboard
• 存储的 Cookie：

  Cookie 名称	Domain	Path	Secure	SameSite	作用范围
  session_id	.example.com	/	✅	None	所有 example.com 子域
  user_prefs	app.example.com	/dashboard	✅	Lax	仅当前路径
  auth_token	api.example.com	/	✅	None	仅 api 子域
  tracking	external.com	/	❌	None	仅 external.com

场景 1：同源请求

目标 URL：https://app.example.com/api/data

关键点：user_prefs 因 Path 匹配 /dashboard 被发送

场景 2：同站跨域请求

目标 URL：https://api.example.com/users

关键点：user_prefs 因 Domain 不匹配（app ≠ api）未被发送

场景 3：跨站请求

目标 URL：https://external.com/data

关键点：tracking 因缺少 Secure 标记可能被浏览器阻止

四、SameSite 属性的关键影响

SameSite 三种模式对比

实际影响示例

// 假设 Cookie: sensitive=value; SameSite=Strict; Secure// 同站跨域请求
fetch('https://api.example.com/data', {credentials: 'include' // ❌ 不会发送 sensitive Cookie
})// 跨站请求
fetch('https://external.com/data', {credentials: 'include' // ❌ 不会发送 sensitive Cookie
})

Credentials 配置决策树

五、安全最佳实践

1. 最小权限原则

// 仅必要请求使用 include
if (needsAuth) {fetch(url, { credentials: 'include' })
} else {fetch(url, { credentials: 'same-origin' })
}

2. 服务器端 CORS 配置

# Nginx 配置示例
add_header 'Access-Control-Allow-Origin' 'https://app.example.com';
add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET, POST';

3. Cookie 安全设置

# 认证 Cookie 推荐配置
Set-Cookie: session=abc123; Domain=.example.com; Path=/; Secure; HttpOnly; SameSite=None

4. CSRF 防护

// 即使使用 credentials: 'include' 也要添加 CSRF token
fetch('/api/transfer', {method: 'POST',credentials: 'include',headers: {'X-CSRF-Token': getCSRFToken()}
})

六、常见问题解决方案

问题 1：Cookie 未发送

排查步骤：

1. 确认 credentials: 'include'
2. 检查服务器 Access-Control-Allow-Credentials: true
3. 验证 Cookie 的 SameSite=None 和 Secure
4. 确保协议一致（HTTP/HTTPS）

问题 2：跨域请求被阻止

错误信息：
The value of the 'Access-Control-Allow-Origin' header must not be the wildcard '*'

解决方案：

# 指定具体来源而非通配符
add_header 'Access-Control-Allow-Origin' 'https://yourdomain.com';

问题 3：IE 兼容性

解决方案：

// 使用 XHR 替代
const xhr = new XMLHttpRequest();
xhr.open('GET', url);
xhr.withCredentials = true; // 等效配置
xhr.send();

七、总结

掌握 credentials 属性的工作原理，能帮助开发者：

1. 正确实现跨域认证流程
2. 构建安全的身份验证系统
3. 避免常见的 CORS 和 Cookie 问题
4. 优化应用的安全防护体系

关键要点：

• include 会发送所有 Domain/Path 匹配的 Cookie
• same-origin 是大多数同源 API 的安全选择
• omit 提供最高安全级别但无认证能力
• SameSite 和 Secure 是跨域认证的关键

通过合理配置和遵循安全最佳实践，您可以在保证用户体验的同时，构建出既强大又安全的 Web 应用。