我有一個www.example.com從 加載 iframe 的網站www.another.com。正在加載的頁面包含 HTML 和 JS，它們會觸發對 self ( ) 的 AJAX 調用www.another.com。這兩個站點都支持 HTTPS。iframe 加載得很好，腳本正在執行，但是，當我單擊“提交”（這是 iframe 的一部分）時，www.another.com由于 CSRF 令牌無效，我的請求被拒絕。iframe 中的表單確實包含一個token字段，該字段具有一個值（一些哈希值）。當我直接訪問時，ajax 調用工作正常www.another.com。據我所知，到目前為止，當 ajax 調用到達服務器時，它沒有啟動會話，因此它無法找到匹配的令牌。我使用Symfony 4.4withNelmioCorsBundle來確保正確的 CORS。配置如下所示：nelmio_cors:    defaults:        allow_credentials: false        origin_regex: false        allow_origin: ['https://www.example.com','https://www.another.com']        allow_methods: ['GET', 'OPTIONS', 'POST']        allow_headers: ['Origin','Referer']        expose_headers: []        max_age: 3600失敗的 ajax 請求有以下標頭： 有什么辦法可以解決這個問題嗎？