logo标签列表

我无法在Node.js(Express)中将cookie的SameSite属性设置为None。

node.jsexpresssessioncookiestwitter
8
我们正在使用Nodejs(Express)为Twitter视图应用程序创建后端。
我考虑使用Twitter API进行登录,将认证后返回的令牌存储到会话中,然后在再次访问时从cookie中恢复会话。
但是,当再次访问时,cookie被阻止,我无法恢复会话信息。
我使用的浏览器是Chrome,但自Chrome 80版本以来,SameSite属性似乎是Lax(在未指定SameSite属性时从同一域站点调用发送cookie),在这种情况下,前端和后端不同域,所以cookie会被阻止。
因此,我试图将SameSite属性设置为None(在任何站点调用时都发送cookie),但似乎无法正确设置,并因此提出了此问题。
我想知道如果在app.use(session({}))的部分中进行更改,是否可以将SameSite属性设置为None,但是......
如果有人知道解决方案,我将非常感激您的帮助。
谢谢您的帮助。
相应的源代码:
callback_url = env.URL + "oauth/callback";

app.use(
    cookieSession({
      name: "session",
      keys: ["thisappisawesome"],
      maxAge: 24 * 60 * 60 * 100
    })
);

app.use(cookieParser());

// Save to session
passport.serializeUser(function(user, done) {
    done(null, user.id);
});

// Restore from Session
passport.deserializeUser(function(user, done) {
    done(null, user);
});

passport.use(
    new TwitterStrategy({
        consumerKey: env.TWITTER_CONSUMER_KEY,
        consumerSecret: env.TWITTER_CONSUMER_SECRET,
        callbackURL: callback_url
    },
    async (token, tokenSecret, profile, done) => {

        return done(null, profile);
    }
));

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false
}));

var cors_set = {
    origin: env.CORS_ORIGIN_URL,
    methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
    credentials: true // allow session cookie from browser to pass through
};

app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));

我的尝试

1.我尝试在app.use(session({}))部分设置cookie选项,但无法将SameSite属性设置为None。

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false,
    cookie : {
        secure: true,
        sameSite: 'None'
      }
}));

2.我尝试使用以下中间件(express-samesite-default),但是SameSite属性可以设置为None,而实际上它并没有被设置。

var sameSiteCookieMiddleware = require("express-samesite-default");

app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());

附加信息

Node.js 版本为 v12.18.2 Chrome 浏览器版本为 v84.0.4147.135

3个回答
6

我能够自行解决问题,接下来我将描述如何解决这个问题。 在代码中有两个会话和一个cookie会话,但是我决定使用cookie会话,因为它似乎可以正常工作。 最终结果如下:

var cookieSession = require("cookie-session");
app.set('trust proxy', 1)
app.use(
    cookieSession({
      name: "__session",
      keys: ["key1"],
        maxAge: 24 * 60 * 60 * 100,
        secure: true,
        httpOnly: true,
        sameSite: 'none'
    })
);
然而默认情况下无法在隐身模式下工作 :( https://dev59.com/FlIG5IYBdhLWcg3wvEA5 - Abhishek E H
这个答案对我有用。即使在隐身模式下,这个答案也对我有用。非常感谢!! - swedha b
这个答案中的修复方法可能只适用于问题的原因是服务器和客户端之间只有一个代理的情况。如果不是这种情况,请参见此答案以获取另一个可能的原因/修复方法。(这是对我有效的方法) - Venryx
2

嘿,我刚刚就像这样使用了它。它有效了。我同时在前端和Express后端中使用localhost。

        res.cookie('token', token, {
            expires: new Date(Date.now() + (3600 * 1000 * 24 * 180 * 1)),
            httpOnly: true,
            sameSite: "none",
            secure: "false",
        });
-1

尝试使用大写字母S的SameSite: 'none',这对我有效,但我使用了带有cookie-parser的express-session...我认为你的代码之所以不起作用是因为小写字母s,当我将我的更改为sameSite时,它对我也不起作用,但SameSite正如预期的那样工作

另外,我使用npm i cors

这是我的一段代码

app.use(session({
    key: 'session_cookie_user_auth',
    secret: 'mooncore',
    store: sessionStore,
    resave: false,
    saveUninitialized: false,
    cookie: {
        SameSite: 'none',
        maxAge: 1000 * 60 * 60 * 60
    }
}));
2
但是你没有包括“secure: true”。这两个一起才会导致失败。 - Ric
另外,即使在使用 express-session 时,使用大写的 “S” 也是错误的。 - Niv Apo
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接