我们有nodejs server,并且正在使用csurf。该库会自动在Set-Cookie标头中发送一个csrf令牌。但是,Microsoft Azure还使用相同的标头来设置ARRAffinity cookie。问题是 Safari 仅存储ARRAffinity cookie,而没有保存csrf cookie。因此我们尝试禁用ARRAffinity,但到目前为止没有成功。这是我们尝试过的:
web config: <customHeaders>
<add name="Arr-Disable-Session-Affinity" value="true" />
</customHeaders>
</httpProtocol>
在https://resources.azure.com下,我们将“ clientAffinityEnabled”设置为false。 (Source)
我们向服务器响应添加了标头:
res.setHeader("Arr-Disable-Session-Affinity", "True");
不幸的是,这些选项都不起作用。在响应中,我们仍然仅收到此ARRAffinity cookie。还有什么可以尝试的吗?