withCredentials在跨域发送cookie时的应用

服务A：http://192.168.126.129:5001
服务B：http://192.168.126.129:5002或者任意一个请求A时是跨域的地址

创新互联长期为上1000家客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为都匀企业提供专业的网站设计、网站建设，都匀网站改版等技术服务。拥有10年丰富建站经验和众多成功案例,为您定制开发。

现在服务A有了它自己的cookie，我们在服务B通过ajax访问服务A或者与A同域的任何一个服务（如http://192.168.126.129:8002，http://192.168.126.129:8003....等）时，是一种跨域访问方式，默认情况下A的cookie是不会随带发的，要想这些服务端（A或者与A同域的服务端）接收到这些cookie，仅仅需要发送时设置ajax：
withCredentials=true
这样服务端就能收到这些cookie了，事情告一段落了。

注意：假设服务A有个签发cookie的服务，服务B ajax跨域调用A的这个服务来设置A的cookie，此时要想Set-Cookie生效，B调用时也要带上withCredentials=true，否则不能保存cookie

但是这个时候服务端A对这个跨域的ajax请求的响应，浏览器默认是不会接受的，因为跨域了，
此时A服务端需要做如下设置：
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin：（B的协议:域名+端口，.net core的CORS中间件也可以写个*号）
缺一不可，注意这仅仅是为了浏览器能接收这个请求的响应，不设置，不会阻止请求和cookie的发送！！！

注意：
上面说的只对ajax请求有效。如果B系统有个链接指向A系统，那么点击这个链接，cookie默认还是会发过去的，这就是很多csrf威胁的根源。要想避免这种情况，可设置A的cookie的SameSite属性：
none：不做任何阻止，这是默认值
Strict：阻止任何从A系统外的地方访问A系统时带A的cookie，有效阻止CSRF威胁
Lax： 只会在使用危险HTTP方法或异步请求（比如script，img，link，iframe，表单发起的post请求）发送跨域cookie的时候进 行阻止，其他同步请求（打开新窗口，改变当前页面的get请求）不会被阻止，一般的cookie可以设置为strict，会话cookie为了好的体验，建议设为Lax，这个时候A系统的服务最好保证Get请求仅仅是读取类的请求。