通过
res.cookie(..., {secure: true})const express = require('express');
const session = require('express-session');
const app = express();
app.use(session({
secret: 'qwerqwerqwer',
resave: true,
saveUninitialized: true,
cookie: {
secure: true,
},
}));
app.get('/hello', (req, res) => {
res.cookie('test', 'asdf', {secure: true});
res.send('');
});
const PORT = 7000;
app.listen(PORT, () => {
console.log(`backend listening on port ${PORT}`);
});
当我去
/helloSet-Cookietest: asdfSet-Cookieconnect.sidSet-Cookieconnect.sidMDN 表示安全 cookie 适用于本地主机。对于 chrome 来说可能不是这样,但他们说对于 Firefox 来说是这样,所以我下载了 Firefox 并在其上进行了测试,但我没有收到
connect.sidexpress-session我认为express-session越权了,出于某种原因扣留了cookie(无论如何,安全属性应该由浏览器解释)。我该如何解决这个问题?
我做了一些更多的挖掘,结果发现这是express-session的一个已知问题:https://github.com/expressjs/session/issues/837
基本上,有关安全 cookie 的文档已经发生了变化。过去,服务器应该通过 HTTP 保留安全 cookie,这就是 express-session 所实现的。现在,它已经变成了客户的责任。
安全 cookie 仅通过 HTTPS 发送,因此在开发中,您应该添加检查以查看您是在生产环境中运行还是在本地运行,如下所示:
app.use(session({
secret: 'qwerqwerqwer',
resave: true,
saveUninitialized: true,
cookie: {
secure: process.env.NODE_ENV === "production",
},
}));
我也有类似的问题。我的本地主机上没有 HTTPS,因此无法使用
sameSite: 'none'sameSite: 'strict'但是,我在 localhost
127.0.0.1:3000127.0.0.1问题是——也许很明显——服务器在
http://127.0.0.1:xxxxhttp://localhost:xxxx当我将客户端应用程序请求从
localhost127.0.0.1localhost127.0.0.1我的会话/cookie 设置:
const expire = 1000 * 60 * 60 * 24 * 5 // 5 days
app.use( session( {
name: process.env.SESSION_NAME, // sessionname in .env
resave: true,
rolling: false,
saveUninitialized: false,
store: MongoStore.create( { mongoUrl: process.env.DB_URL } ), // connectionstring in .env
secret: 'process.env.SESSION_SECRET', // secret in .env
cookie: {
maxAge: expire,
sameSite: "strict", //"none" requires https ... "lax" only works with GET
secure: process.env.NODE_ENV === "production", // true when production/https otherwise false
httpOnly: false
}
} ) )