我无法在 Nodejs (Express) 中将 cookie 的 SameSite 属性设置为 None
[英]I can't set the SameSite attribute of the cookie to None in Nodejs (Express)
问题描述
我们正在 Nodejs (Express) 中为 Twitter 视图应用程序创建后端。
我正在考虑使用 Twitter Api 进行登录,并将身份验证后返回的令牌存储到 session,然后在再次访问时从 cookie 中恢复 session。
但是,再次访问cookie时,cookie被屏蔽,无法恢复session信息。
我用的浏览器是chrome,但是从chrome 80版本开始,在没有指定SameSite属性的情况下,SameSite属性好像是Lax(从同域站点调用时发送cookie),在这种情况下,前后端是不同的域,因此 cookies 被阻止。
所以我试图将 SameSite 属性设置为 None(在任何站点调用时发送一个 cookie),但我似乎无法设置好并问了这个问题。
我想知道如果我在 app.use(session({})) 部分有所不同,是否可以将 SameSite 属性设置为 None,但是......
如果有人知道解决方案,我将不胜感激您的帮助。
谢谢您的帮助。
对应的源码
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
我试过的。
1.我尝试在 app.use(session({})) 部分设置 cookie 选项,但无法将 SameSite 属性设置为 None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件 ( express-samesite-default ),但 SameSite 属性可以设置为 None,但事实并非如此。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
附加信息
Node.js v12.18.2 铬 v84.0.4147.135
3 个解决方案
解决方案1
4 2020-10-22 03:21:41
我们正在为Nodejs(Express)中的Twitter视图应用程序创建一个后端。
我正在考虑使用 Twitter Api 进行登录并存储在对会话进行身份验证后返回的令牌,然后在再次访问时从 cookie 恢复会话。
但是,再次访问该cookie时会被阻止,无法恢复会话信息。
我使用的浏览器是 chrome,但是从 chrome 80 版开始,当没有指定 SameSite 属性时,SameSite 属性似乎是 Lax(从同域的站点调用时发送 cookie),在这种情况下,前端和后端是不同的域,因此 cookie 被阻止。
所以我试图将 SameSite 属性设置为 None (当被任何站点调用时发送一个 cookie),但我似乎无法设置好并问了这个问题。
我想知道如果我在 app.use(session({})) 的部分有所不同,我是否可以将 SameSite 属性设置为 None,但是......
如果有人知道解决方案,我将不胜感激。
感谢您的帮助。
对应的源代码
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
我试过的。
1.我尝试在 app.use(session({})) 部分设置 cookie 选项,但无法将 SameSite 属性设置为 None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件( express-samesite-default ),但是可以将 SameSite 属性设置为 None,而事实并非如此。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
附加信息
Node.js v12.18.2 铬 v84.0.4147.135
解决方案2
1 2020-10-14 19:43:47
我们正在为Nodejs(Express)中的Twitter视图应用程序创建一个后端。
我正在考虑使用 Twitter Api 进行登录并存储在对会话进行身份验证后返回的令牌,然后在再次访问时从 cookie 恢复会话。
但是,再次访问该cookie时会被阻止,无法恢复会话信息。
我使用的浏览器是 chrome,但是从 chrome 80 版开始,当没有指定 SameSite 属性时,SameSite 属性似乎是 Lax(从同域的站点调用时发送 cookie),在这种情况下,前端和后端是不同的域,因此 cookie 被阻止。
所以我试图将 SameSite 属性设置为 None (当被任何站点调用时发送一个 cookie),但我似乎无法设置好并问了这个问题。
我想知道如果我在 app.use(session({})) 的部分有所不同,我是否可以将 SameSite 属性设置为 None,但是......
如果有人知道解决方案,我将不胜感激。
感谢您的帮助。
对应的源代码
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
我试过的。
1.我尝试在 app.use(session({})) 部分设置 cookie 选项,但无法将 SameSite 属性设置为 None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件( express-samesite-default ),但是可以将 SameSite 属性设置为 None,而事实并非如此。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
附加信息
Node.js v12.18.2 铬 v84.0.4147.135
解决方案3
0 2021-06-21 17:26:55
尝试SameSite: 'none'大写 S 它对我有用,但我使用 express-session 和 cookie-parser ...但 SameSite 工作正常
我也用 npm 我 cors
这是我的一段代码
app.use(session({
key: 'session_cookie_user_auth',
secret: 'mooncore',
store: sessionStore,
resave: false,
saveUninitialized: false,
cookie: {
SameSite: 'none',
maxAge: 1000 * 60 * 60 * 60
}
}));
解决方案4
0 2022-12-26 13:39:24
嘿,我就是这样用的。 它奏效了。 我在前端和 express 后端都使用 localhost。
res.cookie('token', token, {
expires: new Date(Date.now() + (3600 * 1000 * 24 * 180 * 1)),
httpOnly: true,
sameSite: "none",
secure: "false",
});
nodeJS Session:如何仅针对某些路由将属性“sameSite”设置为“none”
[英]nodeJS Session : how to set the attribute "sameSite" to "none" only for some routes
如何使用 express 在 cookie 中设置 sameSite 和 Secure 属性?
[英]How to set sameSite and Secure attributes in a cookie with express?
为什么我不断收到警告:与 http://127.0.0.1/ 的资源关联的 cookie 设置为“SameSite=None”但没有“安全”
[英]Why do I keep getting a warning: A cookie associated with a resource at http://127.0.0.1/ was set with `SameSite=None` but without `Secure`
NodeJS / express 4:在写入cookie时发送标题后无法设置标题
[英]NodeJS/express 4 : Can't set headers after they are sent while writing cookie
Express JS/Node JS:当secure=true,sameSite:'none'时,浏览器没有设置cookie
[英]Express JS/ Node JS : Browsers are not setting cookie when secure=true, sameSite: 'none'
将 sameSite 从严格或松散设置为无时出错 - HTTP 仅 cookie - ExpressJS
[英]Error when set sameSite from strict or lax to none - HTTP only cookie - ExpressJS
跨域未设置cookie-angularjs和nodejs / express
[英]cookie not set on cross domain - angularjs and nodejs/express
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
当 SameSite 为 none 时,Express 不会设置 cookie
nodeJS Session:如何仅针对某些路由将属性“sameSite”设置为“none”
如何使用 express 在 cookie 中设置 sameSite 和 Secure 属性?
为什么我不断收到警告:与 http://127.0.0.1/ 的资源关联的 cookie 设置为“SameSite=None”但没有“安全”
SameSite Cookie 属性问题
NodeJS / express 4:在写入cookie时发送标题后无法设置标题
Express JS/Node JS:当secure=true,sameSite:'none'时,浏览器没有设置cookie
我无法设置 cookie
将 sameSite 从严格或松散设置为无时出错 - HTTP 仅 cookie - ExpressJS
跨域未设置cookie-angularjs和nodejs / express
相关标签