egg如何配session的samesite选项?
文档中指名了egg-session引用了koa-session并且
Support all configurations in koa-session.
于是我按照koa-session配了samesite:
session: {
key: 'DSESSIONID',
maxAge: 2 * 3600 * 1000, // 2 小时
httpOnly: true,
encrypt: false,
renew: true,
sameSite: 'none',
},结果发出的cookie还是没有samesite配置:
感叹里的提示信息:samesite跨域了
补充:
当设置samesite为none时候 必须把secure设为true
参见:https://www.ruanyifeng.com/bl...
但是又引出新的问题:
没有https支持的网站如何绕过samesite的限制
求大神指导
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
这个好像是chrome浏览器的默认设置问题,看看这个-->参考链接是否能解决你的问题。
没办法,这个安全策略就是“逼迫”后端上 SSL 的,好解决 CSRF 问题。
如果能绕过还咋逼迫?
何况又不是没给缓冲期,给了快一年半的准备时间让开发者升级了。
P.S. 有现成的 Let's Encrypt 之类的工具可以完全免费申请证书,Chrome / Firefox / Safari 几家近几年都在逐渐对 HTTP 站点加以各种限制,早晚你得升级。