node的express-session设置sameSite和secure不生效且session丢失

已于 2023-04-15 23:34:28 修改
阅读量1.5k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: node 文章标签: session丢失 secure为true sameSite为none express设置cookie trust proxy
于 2023-04-15 23:20:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzp20092009/article/details/130176509
在Node.js环境中,配置express-session处理跨域请求时,需设置sameSite为none和secure为true。但这样可能导致session丢失,解决方案是启用HTTPS协议,设置cookie的secure属性为auto,并配置express的trustproxy以使secure设置生效。这样确保了安全性并允许跨站cookie传递。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.问题

一般在node环境里,设置允许跨域请求需要配置sameSitesecure的值,但以下配置往往不生效,存在session在传递时丢失情况。

const express = require('express')
const session = require('express-session');

const app = express();

app.use(session({
	cookie: {
		sameSite: 'none',
		secure: true
	}
}));

2.问题分析

  1. Samesite属性允许服务器设定一则cookie不随着跨站请求一起发送。当值设为None时意味着浏览器会在跨站和同站请求中均发送cookie,设置该值必须设置Secure属性!!!
  2. Secure属性用于设置cookie是否被https传输。当值设置true网站需要启用 https协议,http访问的站点将不会设置cookie。另外,配置secure值为true需要express设置trust proxy
  3. Secure属性在 express 设置特殊值auto可以自动和确定的连接的安全性相匹配。

3.解决如下

1.网站配置 https协议
2.cookie配置 sameSite 属性值为nonesecure 属性值为auto
3.配置express值trust proxy

const express = require('express')
const session = require('express-session');

//	网站需要https协议,需要开发者单独处理

const app = express();

//	配置该属性将使secure值设为true生效
app.set('trust proxy', 1);	

app.use(session({
	cookie: {
		//	允许跨站和同站请求中均发送cookie
		sameSite: 'none',
		//	“auto”设置自动和确定的连接的安全性相匹配
		secure: ‘auto’
	}
}));

4. 参考

  1. express 详细配置信息请参考这里
  2. SameSite 属性允许服务器设定一则 cookie 不随着跨站请求一起发送,这样可以在一定程度上防范跨站请求伪造攻击(CSRF)。
属性值描述
Strict这意味浏览器仅对同一站点的请求发送 cookie,即请求来自设置 cookie 的站点。如果请求来自不同的域或协议(即使是相同域),则携带有 SameSite=Strict 属性的 cookie 将不会被发送。
Lax意味着 cookie 不会在跨站请求中被发送,如:加载图像或 frame 的请求。但 cookie 在用户从外部站点导航到源站时,cookie 也将被发送(例如,跟随一个链接)。这是 SameSite 属性未被设置时的默认行为。
None这意味着浏览器会在跨站和同站请求中均发送 cookie。在设置这一属性值时,必须同时设置 Secure 属性,就像这样:SameSite=None; Secure
  1. Secure 属性是一个带有安全属性,值为true时 cookie 只有在请求使用 https: 协议(localhost 不受此限制)的时候才会被发送到服务器。以阻止中间人攻击。
php 解决Chrome CookieSameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5615
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=NoneSecure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592https://www.c
Node.js特训专栏-实战进阶:17.会话管理与安全存储
最新发布
爱分享的程序员
07-19 300
会话是指用户与Web应用之间持续的交互过程。由于HTTP协议是无状态的(每次请求独立,服务器不主动保留客户端信息),应用需要通过会话机制识别同一用户的连续请求。用户登录后,服务器生成唯一的会话标识(如Session ID);客户端后续请求携带该标识,服务器通过标识识别用户身份;用户退出或会话超时后,服务器销毁会话信息。优先使用HttpOnly Cookie存储会话标识:防止XSS攻击窃取;强制启用HTTPS:加密所有会话相关通信,防止网络嗅探;会话标识定期刷新。
express如何解决ajax跨域访问session失效问题详解
10-16
主要给大家介绍了关于express如何解决ajax跨域访问session失效问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
跨域cookie失效问题 SameSite=Nonesecure
烟溪彭于晏的博客
11-11 8237
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chromeedge要跨域携带cookie的话需要设置cookieSameSite = None,同时又要求设置cookieSameSite = None就必须设置cookiesecure=true,如果设置secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
nodejs 的 express-session 模块之 cookie.secure 选项使用注意事项
weixin_33873846的博客
01-08 523
nodejs 的 express-session 模块之 cookie.secure 选项使用注意事项 请注意,将此设置true时,如果浏览器没有使用HTTPS连接,客户端将不会将cookie发送回服务器。 请注意,securetrue是推荐的选项。但是,它需要一个启用https的网站,即,安全cookie HTTPS是必需的。如果设置了安全,并您...
只有当cookie设置为“samesite=nonesecure”时_Web 前端新手应该了解的Cookie知识...
weixin_39860732的博客
11-28 7748
正在学习web前端的朋友对Cookie应该不陌生,Cookie是辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据,是web前端中比较重要的知识点。今天小编就为大家带来了这篇文章,让我们一起来看一看Web 前端新手应该了解的Cookie知识。一、Cookie的出现浏览器服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的...
ThinkPHP跨域设置samesite=nonesecure”参数的方法注意事项
wbryze的博客
03-29 3632
因开发插件需要,将另一个网站的数据通过AJAX添加到ThinkPHP制作 的一个网站上的购物车。 需要网站支持跨域请求同步COOKE,具体操作如下: /public/index.php 第二行添加以下代码: ACAO=′∗′;header("Access−Control−Allow−Credentials:true");//允许COOKIE共享header("XDomainRequestAllowed:1");//允许COOKIE共享IEif(!empty(ACAO = '*'; header("Acces
node.js express-session配置详解:内存泄漏与安全选项
Node.js中,Express框架的session管理是一个重要的组成部分,它允许在客户端与服务器之间维护会话状态。`express-session` 是一个用于处理HTTP会话的中间件,它的主要作用是将用户的会话数据存储在服务器端,而...
前端鉴权:cookiesession、token、jwt、单点登录
C1054158790的博客
05-22 482
HTTP 是无状态的,为了维持前后请求,需要前端存储标记cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题token 是另一种状态管理方案,相比于 session 不需要后端存储,数据全部存在前端,解放后端,释放灵活性token 的编码技术,通常基于 base64,或增加加密算法防篡改,jwt 是一种成熟的编码方案。
express基于redisCluster实现多线程给出具体方案给出可运行实例
03-13
2. **会话不生效**:确保所有Worker进程的Session配置一致(尤其是`secret`)。 3. **性能瓶颈**:高并发下可考虑Redis Pipeline或优化Session序列化方式。 此方案通过多进程+Redis共享数据,有效提升了Express应用...
nginx 为chrome客户端请求加SameSite=NoneSecure
路过君的博客
05-14 2955
http { map $http_user_agent $samesite_attr { "~*chrome" ';Secure;SameSite=None'; } server { location / { ... proxy_cookie_path ~/(.*) "/$1$samesite_attr"; } } }
vue+express-session搭配时session丢失
weixin_44501440的博客
04-23 514
express-session+vue使用时出现sessionID不一致问题 在vue项目中,登陆后得到两次不一样的sessionID,致使session信息丢失。各种百度之后使用如下方式解决: 即使用代理,vue.config.js文件如下: </> module.exports = { configureWebpack: { devServer: { proxy: { “/api...
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 3429
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
解决跨域访问session丢失问题
rendiqi的博客
08-27 3836
问题: 前后端两个项目,前段访问后端api,前段用angularjs  后端用的express设置res.header("Access-Control-Allow-Origin", “*”);可以跨域访问,正常查询数据库返回。 但是遇到有权限检查的api就不行,一直提示需要登陆。 搜了下资料,是因为跨域问题,每次get或post  server都会新建session,而权限检查是基
express-session secure: true
weixin_38938336的博客
03-26 415
app.use(session({ secret: 'keyboard cat', resave: false, saveUninitialized: true, cookie:{secure:true} })) 在本机测试时session没有存住,是因为 If a cookie is set with thesecureflag, it wil...
Chrome浏览器中接口set-cookie未加SameSite=None导致cookie设置失效,无法登录
热门推荐
onlyliii的博客
08-28 1万+
方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=value; Secure 方法二:使用Chrome浏览器打开 chrome://flags/#same-site-by-default-cookies 把SameSite by default cookies设置为disabled,重启浏览器即可正常使用 参考资料:https://www.zhihu.com/question/373011...
springboot cookie增加SameSite=NoneSecure属性
路过君的博客
05-14 7578
依赖
SameSite=None and Secure
Call_me_small_pure的博客
07-30 3211
A cookie associated with a cross-site resource at http://baidu.com/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies.
Chrome 配置samesite=none方式
qq_26441149的博客
04-28 9589
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言二、解决方案1.方案一:修改浏览器配置2.方案二:使用Nginx3.方案三:若服务器为Tomcat,可使用以下方式(Tomcat8.5.x以上版本) 前言 Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。 我们遇到的问题是:从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值