我无法在Node.js(Express)中将Cookie的SameSite属性设置为None

时间:2020-09-01 03:25:25

标签: node.js express session cookies twitter

我们正在为Nodejs(Express)中的Twitter视图应用创建后端。

我正在考虑使用Twitter Api进行登录,并将身份验证后返回的令牌存储到会话中,然后在再次访问cookie时从cookie恢复会话。

但是,当再次访问cookie时,该cookie被阻止,我无法恢复会话信息。

我使用的浏览器是chrome,但是由于chrome版本为80,因此未指定SameSite属性时,SameSite属性似乎为Lax(从同一域的站点调用时发送cookie)。和后端是不同的域,因此cookie被阻止。

因此,我试图将SameSite属性设置为None(在任何站点调用时都会发送cookie),但是我似乎无法很好地设置它并询问此问题。

我想知道是否可以在app.use(session({}))方面有所作为,但是可以将SameSite属性设置为None,但是...

如果有人知道解决方案,我将不胜感激。

谢谢您的帮助。

相应的源代码

callback_url = env.URL + "oauth/callback";

app.use(
    cookieSession({
      name: "session",
      keys: ["thisappisawesome"],
      maxAge: 24 * 60 * 60 * 100
    })
);

app.use(cookieParser());

// Save to session
passport.serializeUser(function(user, done) {
    done(null, user.id);
});

// Restore from Session
passport.deserializeUser(function(user, done) {
    done(null, user);
});

passport.use(
    new TwitterStrategy({
        consumerKey: env.TWITTER_CONSUMER_KEY,
        consumerSecret: env.TWITTER_CONSUMER_SECRET,
        callbackURL: callback_url
    },
    async (token, tokenSecret, profile, done) => {

        return done(null, profile);
    }
));

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false
}));

var cors_set = {
    origin: env.CORS_ORIGIN_URL,
    methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
    credentials: true // allow session cookie from browser to pass through
};

app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));

我尝试过的。

1。我尝试在app.use(session({}))部分中设置cookie选项,但是无法将SameSite属性设置为None。

app.use(session({
    allowedHeaders: ['sessionId', 'Content-Type'],
    exposedHeaders: ['sessionId'],
    secret: 'reply-analyzer',
    resave: false,
    saveUninitialized: false,
    cookie : {
        secure: true,
        sameSite: 'None'
      }
}));

2。我尝试使用以下中间件(express-samesite-default),但可以将SameSite属性设置为None,而不是。

var sameSiteCookieMiddleware = require("express-samesite-default");

app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());

其他信息

Node.js v12.18.2 铬v84.0.4147.135

3 个答案:

答案 0 :(得分:1)

我认为您的第一个解决方案应该不错。也尝试使用小写的“ none”。

答案 1 :(得分:1)

我能够自我解决,并将描述我如何解决问题。 在代码中,有两个会话和一个cookie会话,但我决定使用cookie会话,因为它似乎可以正常工作。 最终结果如下

var cookieSession = require("cookie-session");
app.set('trust proxy', 1)
app.use(
    cookieSession({
      name: "__session",
      keys: ["key1"],
        maxAge: 24 * 60 * 60 * 100,
        secure: true,
        httpOnly: true,
        sameSite: 'none'
    })
);

答案 2 :(得分:0)

尝试 SameSite: 'none' 大写的 S 对我有用,但我使用了带有 cookie-parser 的 express-session...我也是,但 SameSite 可以正常工作

我也使用 npm i cors

这是我的一段代码

app.use(session({
    key: 'session_cookie_user_auth',
    secret: 'mooncore',
    store: sessionStore,
    resave: false,
    saveUninitialized: false,
    cookie: {
        SameSite: 'none',
        maxAge: 1000 * 60 * 60 * 60
    }
}));
相关问题
最新问题