質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.91%

CORS でクッキーが保存できない

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 878

nico25

score 824

お世話になっております。
CORS でクッキーを保存することができず、このたび質問させていただきました。
何か思い当たることなどありましたら、ご教示いただけると幸いでございます。

環境

以下のようにサーバを2つ立ち上げました。

名称 URL
API サーバ https://127.0.0.1:5000/
クライアント https://127.0.0.1:5001/

◯ API サーバ

API サーバには以下のようなレスポンスを返すようにしています。

$ curl -i https://127.0.0.1:5000/
HTTP/1.0 200 OK
Content-Type: text/plain; charset=utf-8
Content-Length: 20
Access-Control-Allow-Origin: https://127.0.0.1:5001
Access-Control-Allow-Method: GET, POST, PUT, PATCH, DELETE, HEAD, OPTIONS
Access-Control-Allow-Headers: Content-type,Accept,X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 86400
set-cookie: connect.sid=s%3AM9NQy3hz5cLb3kW6htuybWE6nEX1_iL6.ENXqiTfVPMQVyP%2FGFZ9pshnC87D7rX5%2BM48mjVqwR7s; Path=/; HttpOnly; Secure
Server: Werkzeug/0.16.0 Python/3.7.4
Date: Tue, 15 Oct 2019 11:57:47 GMT

This is a sample page.
$

◯ クライアント

"This is a sample page." とだけ表示されるページを作成しました。

試したこと

◯ その1 成功 - ブラウザから直接

https://127.0.0.1:5000/ にブラウザから直接アクセス
-> 問題なくクッキーが保存されました。

◯ その2 成功 - CORS ではない fetch

https://127.0.0.1:5000/ にブラウザでアクセス
保存されたクッキーを消す
デベロッパツールのコンソールから fetch を使い、以下のスクリプトを実行します。

fetch(
  'https://127.0.0.1:5000/',
  { 
    mode: 'cors',
    credential: 'include',
  }).then(function(response) {
    console.log(response);
  })

-> 問題なくクッキーが保存されました。

その3 失敗 - CORS で fetch

https://127.0.0.1:5001/ にブラウザでアクセス
デベロッパツールのコンソールから fetch を使い、上記のスクリプトを実行しました。
-> クッキーは保存され ない

結果の詳細は、以下のような具合です。

ブラウザ コンソール ネットワーク ストレージ
Chrome エラーは起こらない Set-Cookie ヘッダが表示される クッキーは保存され ない
Safari エラーは起こらない Set-Cookie ヘッダが表示され ない クッキーは保存され ない

Chrome はヘッダーにさえ表示されません。
ただ Safari の方は、クッキーを認識してくれてはいるように見えています。

画面

参考にさせていただいているサイト

主にこちらを参考にしました。

また以下の Stackoverflow の記事から、
もしかして、そもそもできないのかなと疑問を抱いております。

追記された回答にサブドメインに登録すれば使えるよ、
と書かれていたので、hosts ファイルから api.example.com, example.com を設定して、
似たようなことをしてみたのですが、ダメでした。

Safari not setting CORS cookies using JS Fetch API - Stackoverflow
I find it pretty enraging that this is a "working as intended" behaviour of Safari, though I understand their motivation. XHR (and presumably native fetch when it lands natively) does not support the setting of third-party cookies at all. 
This failure is completely transparent because it is handled by the browser outside of the scripting context, so client-based solutions are not really going to be possible.

環境の補足

◯ 使用しているサーバ

サーバは Flask を使用しています。

# api.py
from flask import Flask
from flask import Response

app = Flask(__name__)

@app.route("/")
def index():
    resp = Response("Hello, world!")
    resp.headers['Access-Control-Allow-Origin'] = 'https://127.0.0.1:5001'
    resp.headers['Access-Control-Allow-Method'] = 'GET, POST, PUT, PATCH, DELETE, HEAD, OPTIONS'
    resp.headers['Access-Control-Allow-Headers'] = 'Content-type,Accept,X-Custom-Header'
    resp.headers['Access-Control-Allow-Credentials'] = 'true'
    resp.headers['Access-Control-Max-Age'] = '86400'
    resp.headers['Content-Type'] = 'text/plain; charset=utf-8'
    resp.headers['set-cookie'] = 'connect.sid=s%3AM9NQy3hz5cLb3kW6htuybWE6nEX1_iL6.ENXqiTfVPMQVyP%2FGFZ9pshnC87D7rX5%2BM48mjVqwR7s; Path=/; HttpOnly; Secure'
    return resp
# clietn.py
from flask import Flask

client = Flask(__name__)

@client.route('/')
def index():
    return "This is a sample page."

◯ SSL 秘密鍵と証明書

mkcert を使って、オレオレ証明書を発行しています。

mkcert 127.0.0.1

以上になります。
目を通していただき、ありがとうございます。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

check解決した方法

0

スペルミスでした... credentials の s が抜けてました... orz
お騒がせして申し訳ございませんでした。

fetch(
  'https://127.0.0.1:5000/',
  { 
    mode: 'cors',
    credentials: 'include',  // <--- s が抜けてました...
  }).then(function(response) {
    console.log(response);
  })

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.91%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る