我无法在Nodejs(Express)中将cookie的SameSite属性设置为None

jk9hmnmh 于 2022-12-29 发布在 Node.js

关注(0)|答案(3)|浏览(257)

我们正在Nodejs（Express）中为Twitter视图应用创建后端。
我正在考虑使用TwitterApi进行登录，并将身份验证后返回的令牌存储到会话中，然后在再次访问会话时从cookie中恢复会话。
但是，当再次访问cookie时，它被阻止，我无法恢复会话信息。
我使用的浏览器是chrome，但从chrome 80版本开始，在没有指定SameSite属性时，SameSite属性似乎是Lax（从同一域的站点调用时发送cookie），并且在这种情况下，前端和后端是不同的域，因此cookie被阻止。
因此，我尝试将SameSite属性设置为None（在任何站点调用时发送cookie），但我似乎无法很好地设置它，并提出了这个问题。
我想知道，如果我在app.use（session（{}））部分做了改动，是否可以将SameSite属性设置为None，但是......
如果有人知道解决办法，我会很感激你的帮助。
谢谢你的帮助。

对应的源代码

callback_url = env.URL + "oauth/callback";

app.use(
    cookieSession({
      name: "session",
      keys: ["thisappisawesome"],
      maxAge: 24 * 60 * 60 * 100
    })
);

app.use(cookieParser());

// Save to session
passport.serializeUser(function(user, done) {
    done(null, user.id);
});

// Restore from Session
passport.deserializeUser(function(user, done) {
    done(null, user);
});

passport.use(
    new TwitterStrategy({
        consumerKey: env.TWITTER_CONSUMER_KEY,
        consumerSecret: env.TWITTER_CONSUMER_SECRET,
        callbackURL: callback_url
    },
    async (token, tokenSecret, profile, done) => {

        return done(null, profile);
    }
));

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false
}));

var cors_set = {
    origin: env.CORS_ORIGIN_URL,
    methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
    credentials: true // allow session cookie from browser to pass through
};

app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));

我所尝试的。

1.我尝试在app.use（session（{}））部分设置cookie选项，但无法将SameSite属性设置为None。

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false,
    cookie : {
        secure: true,
        sameSite: 'None'
      }
}));

2.我尝试使用下面的中间件（express-samesite-default），但是SameSite属性可以设置为None，而It wasn't.

var sameSiteCookieMiddleware = require("express-samesite-default");

app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());

附加信息

Node.js v12.18.2 chrome v84.0.4147.135

node.js

来源：https://stackoverflow.com/questions/63680921/i-cant-set-the-samesite-attribute-of-the-cookie-to-none-in-nodejs-express

3条答案

按热度按时间

wd2eg0qa1#

我可以自己解决问题，并将描述我是如何解决问题的。在代码中有两个会话和一个cookie会话，但我决定使用cookie会话，因为它看起来工作得很好。最终结果如下

var cookieSession = require("cookie-session");
app.set('trust proxy', 1)
app.use(
    cookieSession({
      name: "__session",
      keys: ["key1"],
        maxAge: 24 * 60 * 60 * 100,
        secure: true,
        httpOnly: true,
        sameSite: 'none'
    })
);

赞(0）回复(0）举报 2022-12-29

xfyts7mz2#

尝试SameSite: 'none'与资本S它为我工作，但我使用express-session与cookie解析器...我认为你的代码不工作，因为小s，当我改变我的sameSite它不为我工作了，但sameSite的工作正如预期
我也使用npm i cors
下面是我代码片段

app.use(session({
    key: 'session_cookie_user_auth',
    secret: 'mooncore',
    store: sessionStore,
    resave: false,
    saveUninitialized: false,
    cookie: {
        SameSite: 'none',
        maxAge: 1000 * 60 * 60 * 60
    }
}));

赞(0）回复(0）举报 2022-12-29

zfciruhq3#

嘿，我只是这样使用。它的工作。我使用本地主机的前端和快速后端。

res.cookie('token', token, {
            expires: new Date(Date.now() + (3600 * 1000 * 24 * 180 * 1)),
            httpOnly: true,
            sameSite: "none",
            secure: "false",
        });

赞(0）回复(0）举报 2022-12-29

我来回答

我无法在Nodejs(Express)中将cookie的SameSite属性设置为None

对应的源代码

我所尝试的。

附加信息

3条答案

相关问题

热门标签

最新问答