使用fetchAPI和Drupal作为解耦后端的无效X-CSRF-Token请求标头

Question

首先，我是一名初级开发人员。我为可能的误解而道歉。

我正在尝试使用fetchAPI创建一个与分离的Drupal 8后端通信的Reactjs应用程序。

我想通过使用会话cookie来建立身份验证系统。从Drupal站点获取cookie并在浏览器中设置它可以正常工作。我可以在HTTP请求中包含cookie。但是，除了cookie之外，Drupal还希望将“x-csrf-token”包含在HTTP请求头中。可以通过对Drupal站点的HTTP GET请求获取此令牌。因此，当用户登录时，我同时请求cookie和x-csrf-token，并使用Redux将令牌存储在React的应用程序状态中。

现在，在我尝试发出的POST请求中，我从Redux存储中获取令牌，并使用“X-CSRF-Token”标头将其包含在HTTP请求中。这给出了403错误，其中包含以下响应：'X-CSRF-Token请求标头无效'。完全相同的请求结合获取cookie和令牌在邮递员中工作正常，所以我不知道为什么我在浏览器中收到此错误。

我为令牌尝试了多种浏览器和不同的格式，但我仍然无法使其工作。

（注意：我正在使用Drupal核心的RESTful Web服务，并启用了cookie身份验证。）

获得X-CSRF令牌：

export function getCsrfToken() {
  return function(dispatch) {
    fetch("http://drupalsite.local/rest/session/token", {
      method: "GET"
    })
      .then(res => res.text())
      .catch(err => {
        console.log(err)
      })
      .then(token => {
        console.log(token);
        dispatch({
          type: FETCH_CSRF_TOKEN,
          payload: token
        });
      })
      .catch(err => {
        console.log(err);
      });
  };
}

POST请求：

export function post(name, csrfToken) {
  const data = JSON.stringify({
    title: [
      {
        value: name
      }
    ],
    type: [
      {
        target_id: "test"
      }
    ]
  });

  return function(dispatch) {
    fetch("http://drupalsite.local/node", {
      method: "POST",
      credentials: "include",
      headers: new Headers({
        "Content-Type": "application/json",
        Accept: "application/json",
        "X-CSRF-TOKEN": csrfToken
      }),
      body: data
    })
      .then(res => {
        dispatch({
          type: POST_DATA_CORE_REST,
          payload: res
        });
      })
      .catch(err => {
        console.log(err);
      });
  };
}

HTTP headers