我无法在Nodejs(Express)中将cookie的SameSite属性设置为None

jk9hmnmh  于 2022-12-29  发布在  Node.js
关注(0)|答案(3)|浏览(258)

我们正在Nodejs(Express)中为Twitter视图应用创建后端。
我正在考虑使用TwitterApi进行登录,并将身份验证后返回的令牌存储到会话中,然后在再次访问会话时从cookie中恢复会话。
但是,当再次访问cookie时,它被阻止,我无法恢复会话信息。
我使用的浏览器是chrome,但从chrome 80版本开始,在没有指定SameSite属性时,SameSite属性似乎是Lax(从同一域的站点调用时发送cookie),并且在这种情况下,前端和后端是不同的域,因此cookie被阻止。
因此,我尝试将SameSite属性设置为None(在任何站点调用时发送cookie),但我似乎无法很好地设置它,并提出了这个问题。
我想知道,如果我在app.use(session({}))部分做了改动,是否可以将SameSite属性设置为None,但是......
如果有人知道解决办法,我会很感激你的帮助。
谢谢你的帮助。

对应的源代码

callback_url = env.URL + "oauth/callback";

app.use(
    cookieSession({
      name: "session",
      keys: ["thisappisawesome"],
      maxAge: 24 * 60 * 60 * 100
    })
);

app.use(cookieParser());

// Save to session
passport.serializeUser(function(user, done) {
    done(null, user.id);
});

// Restore from Session
passport.deserializeUser(function(user, done) {
    done(null, user);
});

passport.use(
    new TwitterStrategy({
        consumerKey: env.TWITTER_CONSUMER_KEY,
        consumerSecret: env.TWITTER_CONSUMER_SECRET,
        callbackURL: callback_url
    },
    async (token, tokenSecret, profile, done) => {

        return done(null, profile);
    }
));

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false
}));

var cors_set = {
    origin: env.CORS_ORIGIN_URL,
    methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
    credentials: true // allow session cookie from browser to pass through
};

app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));

我所尝试的。

1.我尝试在app.use(session({}))部分设置cookie选项,但无法将SameSite属性设置为None。

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false,
    cookie : {
        secure: true,
        sameSite: 'None'
      }
}));

2.我尝试使用下面的中间件(express-samesite-default),但是SameSite属性可以设置为None,而It wasn't.

var sameSiteCookieMiddleware = require("express-samesite-default");

app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());

附加信息

Node.js v12.18.2 chrome v84.0.4147.135

wd2eg0qa

wd2eg0qa1#

我可以自己解决问题,并将描述我是如何解决问题的。在代码中有两个会话和一个cookie会话,但我决定使用cookie会话,因为它看起来工作得很好。最终结果如下

var cookieSession = require("cookie-session");
app.set('trust proxy', 1)
app.use(
    cookieSession({
      name: "__session",
      keys: ["key1"],
        maxAge: 24 * 60 * 60 * 100,
        secure: true,
        httpOnly: true,
        sameSite: 'none'
    })
);
xfyts7mz

xfyts7mz2#

尝试SameSite: 'none'与资本S它为我工作,但我使用express-session与cookie解析器...我认为你的代码不工作,因为小s,当我改变我的sameSite它不为我工作了,但sameSite的工作正如预期
我也使用npm i cors
下面是我代码片段

app.use(session({
    key: 'session_cookie_user_auth',
    secret: 'mooncore',
    store: sessionStore,
    resave: false,
    saveUninitialized: false,
    cookie: {
        SameSite: 'none',
        maxAge: 1000 * 60 * 60 * 60
    }
}));
zfciruhq

zfciruhq3#

嘿,我只是这样使用。它的工作。我使用本地主机的前端和快速后端。

res.cookie('token', token, {
            expires: new Date(Date.now() + (3600 * 1000 * 24 * 180 * 1)),
            httpOnly: true,
            sameSite: "none",
            secure: "false",
        });

相关问题