Express cookie -当SameSite设置为'none‘且secure设置为true时,会话不保存cookie
Express cookie是一种用于在Express框架中处理HTTP请求和响应的中间件。它允许开发人员在客户端和服务器之间传递和存储数据,以实现会话管理和状态保持。
当SameSite设置为'none'且secure设置为true时,会话不保存cookie。这是因为SameSite属性用于控制浏览器是否在跨站点请求中发送cookie。当SameSite设置为'none'时,表示允许在跨站点请求中发送cookie。而secure属性用于指定是否只在使用HTTPS协议时发送cookie。
在这种情况下,会话不保存cookie意味着当使用Express cookie中间件创建会话时,会话cookie将不会被发送到非安全的HTTP连接中。这是为了增加安全性,防止会话cookie被窃取或篡改。
然而,要注意的是,当使用这种设置时,必须确保应用程序在HTTPS连接上运行,以确保会话cookie的安全性。否则,浏览器将不会发送cookie,导致会话无法正常工作。
推荐的腾讯云相关产品:腾讯云CDN(内容分发网络)可以帮助提供HTTPS加密连接和全球加速服务,以确保会话cookie的安全性和性能优化。您可以通过以下链接了解更多关于腾讯云CDN的信息:腾讯云CDN产品介绍
请注意,以上答案仅供参考,具体的实现和配置可能因应用程序的需求和环境而有所不同。
相关·内容
2回答
Express cookie -当SameSite设置为'none‘且secure设置为true时,会话不保存cookie
express、cookies、passport.js、samesite、cookie-session
我正在使用cookie-session和passportjs对我的express应用程序中的用户进行身份验证。当我像这样初始化我的cookieSession时: app.use(cookieSession({
maxAge: 24 * 60 * 60 * 1000,
keys: ['key1']
})); 我的cookie已成功保存到客户端。但是,我正在处理的项目需要跨站点请求。因此,cookie的安全属性必须设置为true,SameSite属性必须设置为none。在文档中,可以按如下方式设置这些值: app.use(cookieSession({
m
浏览 250提问于2021-06-22得票数 0
3回答
SameSite属性中断SAML流
cookies、saml、saml-2.0、spring-saml、shibboleth
Chrome 80将引入一个新的属性,即SameSite。
严格只为“同一站点”请求附加cookie。
Lax -为“相同站点”请求发送cookie,以及使用安全HTTP方法的“跨站点”顶级导航(获取头选项跟踪)。
没有-发送饼干所有‘相同的网站’和‘跨网站’的要求。
要了解更多信息,解释SameSite相当不错。
来自Azure文件:
云服务(服务提供者)使用HTTP重定向绑定将AuthnRequest (身份验证请求)元素传递给Azure (标识提供者)。Azure AD然后使用HTTP绑定将响应元素发布到云服务
我的问题是为什么SameSite破坏SAML流?
浏览 2提问于2020-02-05得票数 4
2回答
如果提供选项,则速成clearCookie无法正常工作。
node.js、express、google-chrome、http、cookies
设置会话cookie的代码如下:
res.cookie(newCookieName, sessionCookie, {
domain: getCookiesDomain(),
maxAge: ms('30 days'),
secure: true,
httpOnly: true,
浏览 7提问于2022-06-04得票数 1
回答已采纳
2回答
Express / Node :浏览器在secure=true、sameSite:'none‘时不设置cookie
node.js、express、cookies、express-session
如果我在本地运行服务器,那么它会设置cookie,但当它在线托管时:
If secure=false,sameSite:'none'然后我得到以下错误
Cookie“connect.sid”将很快被拒绝,因为它将“sameSite”属性设置为“none”或无效值,而没有“secure”属性。要了解有关“sameSite”属性的更多信息,请阅读
然后我试着用secure=true
if secure=true,sameSite:“无人”-
可以工作,当服务器在本地托管时,可以设置cookie。但是,当它托管在heroku中时,cookie没有设置,我也没有错误。
客户端网
浏览 8提问于2020-07-12得票数 18
1回答
从javascript标记请求中设置和获取cookie
javascript、cookies
我有以下情况:
带有src=domain1.com的another_domain.com页面中的Javascript标记
Javascript标记从domain1.com服务器返回cookie头和脚本内容
脚本内容收集数据并通过请求发送到domain1.com
我希望能够在第2点设置一个cookie,并在第3点中恢复它。
set-cookie: cookieName="cookieValue";Version=1;Domain=domain1.com;Path=/;SameSite=None;Max-Age=600;Secure
但我无法在第3点的请求中恢复
浏览 2提问于2020-10-27得票数 0
回答已采纳
1回答
即使为MERN堆栈web应用程序设置了sameSite:'none‘和secure: true,Cookie也不会保存在chrome中
node.js、reactjs、express、cookies、express-session
在chrome中的最新更新之后,浏览器没有保存我的服务器cookies。以前,即使它显示了一条警告,它仍然可以工作。但现在不是了。 由于我的react应用程序托管在netlify上,而我的服务器运行在AWS上,因此它是跨源的。因此,我使用sameSite=None secure选项更改了express-session中的cookie设置,如下所示。 app.use(session({
secret: 'my secret',
name: 'my-react-app',
resave: false,
saveUninitialized: true,
cookie
浏览 51提问于2020-08-13得票数 3
回答已采纳
1回答
Node.js,角,快速会话: Chrome 80不保存会话,因为cookie策略(sameSite Cookie)
node.js、express、session-cookies、express-session、samesite
我有一个Node.js,角应用程序。(Node.js服务器用TypeScript编写)。Node.js服务器运行在Amazon 2实例上,角客户端在另一台服务器上.
用于登录会话,我使用快速会话。我没有在应用程序中使用cookie,所以我认为问题在于快速会话cookie。火狐上的正常工作,但对于Google (80.0.3987.149),它不起作用: Chrome不保存会话(所以我不能离开登录页面)并警告:
与上的跨站点资源关联的cookie是在没有SameSite属性的情况下设置的。它已经被阻止了,因为Chrome现在只提供带有跨站点请求的cookie,如果它们是用SameSite=Non
浏览 2提问于2020-04-04得票数 6
1回答
SameSite Cookie属性警告没有得到修正
javascript、reactjs、cookies、cross-site
我正在使用react.js,我正在尝试将集成到我的web应用程序中。我在index.html文件的head标记中添加了代码片段,但是我收到了一个警告:
与的跨站点资源关联的cookie是在没有SameSite属性的情况下设置的。Chrome的未来版本只有在SameSite=None和Secure的情况下,才会提供带有跨站点请求的cookie。
我尝试在index.html文档的头部设置cookie,如下所示:
document.cookie = 'same-site-cookie=foo; SameSite=Lax';
document.cookie = 'cr
浏览 2提问于2019-11-04得票数 2
2回答
在没有“`SameSite`”属性的情况下设置了与跨站点资源"URL“相关联的cookie
c#、samesite、.net-4.7.2、google-sso
在Google中,我收到了这样的警告:“在没有SameSite属性的情况下,设置了与跨站点资源相关的cookie”。它已经被阻止了,因为Chrome现在只提供带有跨站点请求的cookie,如果它们是用SameSite=None和Secure设置的。我在Application>Storage>Cookies下验证了相同的内容,我发现相同的站点是“空白/空”的,我想将其更新为“无”。
尝试了其他开发人员提到的一些方法,但是似乎没有什么适合我。
实现1:用下面提到的代码更新我的web.config
<sessionState cookieSameSite="None"
浏览 3提问于2020-04-03得票数 0
回答已采纳
1回答
设置cookies 'SameSite=none;Secure‘并提供CSRF令牌是否足以防止CSRF在可嵌入的web应用程序中出现?
cookies、csrf、samesite
我的web应用程序(myApp进一步)嵌入在一个单一的第三方网页的iframe中。MyApp设置用于维护用户会话的cookie Set-Cookie: JSESSIONID=38FE580EE7D8CACA581532DD37A19182; Path=/myapi; Secure; HttpOnly。不久前,它在Chrome中停止工作,因为更新改变了,将没有SameSite属性的cookies的默认行为从None处理到Lax。
我将从myApp主机和SameSite=None; Secure一起发送cookie。另外,每个响应中都包含X-CSRF-TOKEN头。myApp javascri
浏览 2提问于2020-09-22得票数 7
2回答
在ASP SameSite=None核心MVC Web应用程序中指定.Net和安全
asp.net-core、cookies、iframe、asp.net-core-mvc、samesite
我正在使用ASP .NET Core (.NET 5.0和MVC5)创建一个web应用程序。在其中一个网页中,有一个iframe,需要加载一个tableau视图。设置到tableau服务器的可信身份验证并获取令牌。但是tableau视图(或任何其他网站)并没有加载到iframe中。
我得到了这个错误:通过指定它的SameSite属性来指示是否在跨站点请求中发送cookie。
当我研究这个问题时,我明白我们需要将cookie属性设置为SameSite=None和Secure。请帮助我了解将sameSite属性设置为none和secure的位置。
浏览 7提问于2021-12-27得票数 1
回答已采纳
2回答
Django -未设置csrf cookie
javascript、django、ajax、django-rest-framework
几个小时以来,我一直在尝试使用Axios从独立的VueJS前端向我的Django应用程序中的端点发送POST请求。我的代码的问题是,无论我尝试什么,我都会得到Forbidden (CSRF cookie not set.),并且我不能使用@crsf_exempt。
我尝试了我找到的所有可能的解决方案,从更改Axios请求中的标头名称到将CSRF_COOKIE_SECURE设置为False,似乎没有什么能解决这个问题。
以下是我的请求:
function getCookie(name) {
var cookieValue = null;
if (document.cookie &
浏览 2提问于2021-03-26得票数 0
1回答
FireStore + Cloud剥离了我的名为__session的cookie
firebase、express、cookies、google-cloud-firestore、google-cloud-run
我使用express-session在我的Express+NodeJS后端应用程序中管理会话。我使用Firebase进行身份验证,使用云运行来承载我的服务器。基于云运行托管的文档,唯一允许的cookie是。只有当用户登录时,我在响应中显式地设置了cookie,我才能让它工作。
res.setHeader("Set-Cookie", req.session);
res.cookie(
"__session",
{ something: "something" },
{
expires: new Date(Date.now() +
浏览 10提问于2021-12-23得票数 1
4回答
如何解决Apache2.4和PHP7.1上Chrome中的跨站点`SameSite=None`警告?
php、apache、cookies、header、samesite
我客户的网站在Chrome上收到了这些SameSite饼干警告。我已经搜遍了所有的地方,我无法让警告消失。cookies是由于谷歌广告转换跟踪在Wordpress网站上。出于兼容性原因,该站点位于Apache2.4.7 (Ubuntu)上,由运行PHP7.1的DreamHost托管。在我的.htaccess文件中,我尝试添加:
Header always edit Set-Cookie (.*) "$1; SameSite=None"
我试过
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
...and我试过了
Header a
浏览 3提问于2019-10-13得票数 18
回答已采纳
1回答
Directus在管理应用程序源上设置cookie,但我需要在前端应用程序上使用它
cookies、localhost、setcookie、directus
我在localhost上有directus API和admin app,在localhost上有前端React app :3000。当我尝试从React界面通过client.login方法登录时,directus会将cookie设置为localhost (它的管理应用程序来源)。但是我需要在localhost上使用这个cookie :3000,我的实际应用程序所在的位置。设置cookie头部如下: directus-test-session=4JCvIJhNxCovLAvCwkSulylc8ZYq1iok4EQ3%3A%3A5b84ad5310ba25a7129ed57448136e13;p
浏览 50提问于2019-12-28得票数 1
3回答
烧瓶曲奇没有SameSite属性
javascript、python、flask、cookies、jwt
最近,由于Chrome 80,已经注意到没有SameSite=None和安全属性的cookies将不会在Chrome浏览器中设置。
目前,我使用Flask扩展库为我的后端生成我的cookies,但是即使它在set_cookies函数中有set_cookies函数,cookies仍然没有在浏览器中设置。我和邮递员一起发送了请求,查看了我的饼干,得到了以下曲奇:
access_token_cookie=my_token; Path=/; Domain=127.0.0.1; Secure; HttpOnly;
我已经尝试过用以下方式手动设置标题:
resp.headers.add('Set-
浏览 10提问于2020-04-01得票数 6
1回答
域属性是否会影响http cookie上的SameSite?
rest、cookies、cross-domain、httpcookie
如果cookie的域属性设置为客户机域,CORS是否会请求设置/发送带有SameSite=Strict的cookie? 例如,如果我从cors.com向cors-api.com发出请求,此配置是否允许设置和发送我的cookie? Set-Cookie: MY_KEY=<MY_VALUE>; Secure; HttpOnly; Domain=cors.com; SameSite=Strict;
浏览 15提问于2020-04-03得票数 1
回答已采纳
1回答
浏览器使用samesite=lax,即使指定了samesite=none
iframe、setcookie、response-headers、samesite、third-party-cookies
我试图嵌入我的角度应用程序到另一个网站通过iframe。在我的角度应用程序中,我正在设置cookie,所以当我尝试将角应用程序嵌入到我的另一个站点时,Devtools显示了一个问题,它告诉我,samesite=none没有被设置,因此正在使用默认的samesite=lax,这就阻止了角度应用程序设置cookies。
之后,我尝试在响应头中设置条目" set -cookie: samesite=none;secure",但没有成功。正如您在下面的屏幕截图中所看到的,浏览器仍然使用“同一个站点=lax”。
这个问题发生在Chrome和Edge(Chromium)上,而在Firefo
浏览 5提问于2021-11-26得票数 0
回答已采纳
4回答
未设置Python会话SAMESITE=None
python、flask、samesite、flask-session
我对铬和SameSite有问题。我在shopify iframe中提供一个网页,当使用烧瓶登录设置会话时,chrome告诉我如下:
在没有SameSite属性的情况下,设置了与位于URL的跨站点资源关联的cookie。它被阻止了,因为Chrome现在只提供带有跨站点请求的cookie,如果它们是用SameSite=None和Secure设置的。
安全设置,但我尝试以所有可能的方式设置SameSite,但没有效果。
我试着设置
App.config‘’SESSION_COOKIE_SAMESITE‘= "None“
我试过了,改变了库的行为,我厌倦了在set_cookie
浏览 5提问于2020-07-20得票数 7
5回答
Safari即使在设置SameSite=None之后也不发送cookie;安全
javascript、cookies、safari、setcookie、samesite
我们的应用程序使用cookie来记住用户登录。我们进行的每次auth API调用,浏览器都会将服务器设置的HTTPonly cookie附加到API请求中,并进行身份验证。在Mojave发布后,这种行为似乎在safari中被打破了。
我读到了safari实现的跨站点cookie安全性,我们的服务器团队在设置cookie时添加了SameSite=None;Secure。即使在那之后,它仍然不能工作。
Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None
请从实际找到解决方案的人那里获得建议或提供链接。
浏览 8提问于2019-10-23得票数 36
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
