[英]I can't set the SameSite attribute of the cookie to None in Nodejs (Express)
我们正在 Nodejs (Express) 中为 Twitter 视图应用程序创建后端。
我正在考虑使用 Twitter Api 进行登录,并将身份验证后返回的令牌存储到 session,然后在再次访问时从 cookie 中恢复 session。
但是,再次访问cookie时,cookie被屏蔽,无法恢复session信息。
我用的浏览器是chrome,但是从chrome 80版本开始,在没有指定SameSite属性的情况下,SameSite属性好像是Lax(从同域站点调用时发送cookie),在这种情况下,前后端是不同的域,因此 cookies 被阻止。
所以我试图将 SameSite 属性设置为 None(在任何站点调用时发送一个 cookie),但我似乎无法设置好并问了这个问题。
我想知道如果我在 app.use(session({})) 部分有所不同,是否可以将 SameSite 属性设置为 None,但是......
如果有人知道解决方案,我将不胜感激您的帮助。
谢谢您的帮助。
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
1.我尝试在 app.use(session({})) 部分设置 cookie 选项,但无法将 SameSite 属性设置为 None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件 ( express-samesite-default ),但 SameSite 属性可以设置为 None,但事实并非如此。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
Node.js v12.18.2 铬 v84.0.4147.135
我们正在为Nodejs(Express)中的Twitter视图应用程序创建一个后端。
我正在考虑使用 Twitter Api 进行登录并存储在对会话进行身份验证后返回的令牌,然后在再次访问时从 cookie 恢复会话。
但是,再次访问该cookie时会被阻止,无法恢复会话信息。
我使用的浏览器是 chrome,但是从 chrome 80 版开始,当没有指定 SameSite 属性时,SameSite 属性似乎是 Lax(从同域的站点调用时发送 cookie),在这种情况下,前端和后端是不同的域,因此 cookie 被阻止。
所以我试图将 SameSite 属性设置为 None (当被任何站点调用时发送一个 cookie),但我似乎无法设置好并问了这个问题。
我想知道如果我在 app.use(session({})) 的部分有所不同,我是否可以将 SameSite 属性设置为 None,但是......
如果有人知道解决方案,我将不胜感激。
感谢您的帮助。
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
1.我尝试在 app.use(session({})) 部分设置 cookie 选项,但无法将 SameSite 属性设置为 None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件( express-samesite-default ),但是可以将 SameSite 属性设置为 None,而事实并非如此。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
Node.js v12.18.2 铬 v84.0.4147.135
我们正在为Nodejs(Express)中的Twitter视图应用程序创建一个后端。
我正在考虑使用 Twitter Api 进行登录并存储在对会话进行身份验证后返回的令牌,然后在再次访问时从 cookie 恢复会话。
但是,再次访问该cookie时会被阻止,无法恢复会话信息。
我使用的浏览器是 chrome,但是从 chrome 80 版开始,当没有指定 SameSite 属性时,SameSite 属性似乎是 Lax(从同域的站点调用时发送 cookie),在这种情况下,前端和后端是不同的域,因此 cookie 被阻止。
所以我试图将 SameSite 属性设置为 None (当被任何站点调用时发送一个 cookie),但我似乎无法设置好并问了这个问题。
我想知道如果我在 app.use(session({})) 的部分有所不同,我是否可以将 SameSite 属性设置为 None,但是......
如果有人知道解决方案,我将不胜感激。
感谢您的帮助。
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
1.我尝试在 app.use(session({})) 部分设置 cookie 选项,但无法将 SameSite 属性设置为 None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件( express-samesite-default ),但是可以将 SameSite 属性设置为 None,而事实并非如此。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
Node.js v12.18.2 铬 v84.0.4147.135
尝试SameSite: 'none'
大写 S 它对我有用,但我使用 express-session 和 cookie-parser ...但 SameSite 工作正常
我也用 npm 我 cors
这是我的一段代码
app.use(session({
key: 'session_cookie_user_auth',
secret: 'mooncore',
store: sessionStore,
resave: false,
saveUninitialized: false,
cookie: {
SameSite: 'none',
maxAge: 1000 * 60 * 60 * 60
}
}));
嘿,我就是这样用的。 它奏效了。 我在前端和 express 后端都使用 localhost。
res.cookie('token', token, {
expires: new Date(Date.now() + (3600 * 1000 * 24 * 180 * 1)),
httpOnly: true,
sameSite: "none",
secure: "false",
});
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.