Pra*_*han 15 cookies node.js express express-session
如果我在本地运行服务器,它会设置 cookie,但是当它在线托管时:
Cookie“connect.sid”很快就会被拒绝,因为它的“sameSite”属性设置为“none”或无效值,没有“secure”属性。要了解有关“sameSite”属性的更多信息,请阅读 https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
然后我尝试使用 secure=true
它可以工作,并且当服务器在本地托管时设置了 cookie。但是当它托管在 heroku 中时,cookie 没有设置,我没有收到任何错误。
好像客户端网站不安全,但它在 url 框中显示 https
我在这里做错了什么?
会话配置:
router.use(
session({
cookie: {
secure: true,
maxAge: 86400,
sameSite: "none",
},
secret: process.env.SESSION_SECRET,
resave: false,
saveUninitialized: false,
})
);注意:我已经启用了凭据设置为 true 的 cors XHR cookies 选项卡中的 cookies 选项卡为空前端和后端分别托管在 heroku XMLHttpRequest 用于发送 withCredentials 设置为 true 的 post 请求。
XHRPOSThttps://sih-drs-prototype-backend-2.herokuapp.com/api/outrages/login [HTTP/1.1 200 OK 1625ms]
POST https://sih-drs-prototype-backend-2.herokuapp.com/api/outrages/login Status200 OK VersionHTTP/1.1 Transferred367 B(2B大小)
Access-Control-Allow-Credentials
true
Access-Control-Allow-Origin
https://tempautocomplete.herokuapp.com
Connection
keep-alive
Content-Length
2
Content-Type
application/json; charset=utf-8
Date
Sun, 12 Jul 2020 14:06:42 GMT
Etag
W/"2-vyGp6PvFo4RvsFtPoIWeCReyIC8"
Server
Cowboy
Vary
Origin
Via
1.1 vegur
X-Powered-By
Express
Accept
*/*
Accept-Encoding
gzip, deflate, br
Accept-Language
en-US,en;q=0.5
Connection
keep-alive
Content-Length
46
Content-Type
application/json;charset=UTF-8
Host
sih-drs-prototype-backend-2.herokuapp.com
Origin
https://tempautocomplete.herokuapp.com
Referer
https://tempautocomplete.herokuapp.com/static/
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0
问题不在于express-session,它完成了它的工作。当响应来自第三方域时,浏览器不允许 cookie。
如果您正在寻找解决方法,请尝试此 npm 包:should-send-same-site-none https://www.npmjs.com/package/should-send-same-site-none
需要明确的是,浏览器并没有拒绝 cookie。相反,cookie 存储在发送响应的第三方域名的名称中。
在本地托管时它工作得很好,因为请求和响应来自同一个域(本地主机)