无法使用 websockts 和 socket.io 从 cookie 获取连接的会话 ID

发布于 2024-11-28 22:10:29 字数 721 浏览 0 评论 0原文

在socket.io服务器的配置中，我有以下代码，它从标头中的cookie中获取会话id，我想验证会话是否与登录的用户相对应（我使用express作为http服务器，并且用于存储会话的 MemoryStore）。

  io.set('authorization', function (handshakeData, callback) {
    var cookies = handshakeData.headers.cookie;
    cookies = connect.utils.parseCookie(cookies);
    var sid = cookies['connect.sid'];  
    /* verify that is a valid session */
  });

当我从 Firefox 连接到我的 node.js 时，这有效，最终使用长轮询，但当我从使用 WebSockets 的 Chrome 连接时失败。它不起作用的原因是当客户端代码连接到套接字时，Chrome 根本不会在标头中发送 cookie。

有没有办法让 Chrome 通过 WebSockets 发送 cookie？

如果不是，我应该如何存储 sessionID 以便在验证套接字连接时可以访问它？

我还应该注意到，保存会话 ID 的 cookie 设置为仅 http，我在其他地方看到过这可能是问题所在？我的理解是，删除该选项会增加您遭受 XSS 攻击的脆弱性吗？

感谢您的帮助！

原文

In the configuration of a socket.io server I have the following code which grabs the session id from the cookie in the header and I want to verify that session corresponds with a logged in user (I'm using express as the http server, and a MemoryStore to store sessions).

  io.set('authorization', function (handshakeData, callback) {
    var cookies = handshakeData.headers.cookie;
    cookies = connect.utils.parseCookie(cookies);
    var sid = cookies['connect.sid'];  
    /* verify that is a valid session */
  });

This works when I connect to my node.js from Firefox which ends up using long-polling, but fails when I connect from Chrome which uses WebSockets. The reason it doesn't work is Chrome doesn't send a cookie in the header at all when the client code connects to the socket.

Is there anyway to get Chrome to send the cookie over WebSockets?

If not how should I store the sessionID so that it can be accessed when authenticating a socket connection?

I should also note that the cookie keeping the session id is set to http-only, which I've seen elsewhere could be the problem? My understanding is that be removing that option increases your vulnerability to XSS attacks?

Thanks for your help!

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

明月夜 2024-12-05 22:10:29

不熟悉 Chrome 的特定行为。然而，很难保证你会得到像 Flash 套接字这样的 cookie，socket.io 可能会依赖它。

但是，您可以在连接时使用 https 之类的内容通过 socket.io 手动发送会话 ID ://github.com/carhartl/jquery-cookie 或者只是通过 javascript 访问 cookie（例如 document.cookie）。无论交通如何，您都可以保证以这种方式获得它。

回复收藏 0 原文

旧情别恋 2024-12-05 22:10:29

尝试在客户端上禁用 Flash 套接字和 Web 套接字：

        var socket = new io.Socket(null, {
              rememberTransport: false,
              transports: [
                  //'websocket', 
                  //'flashsocket',
                  'htmlfile',
                  'xhr-multipart',
                  'xhr-polling']
            })

        socket.on('connect',
            function() {
                console.log(arguments);
            }
        );

        socket.on('message',
            function(data) {
                console.log(arguments);
            }
        );

Try disabling flash sockets and web sockets on your client:

        var socket = new io.Socket(null, {
              rememberTransport: false,
              transports: [
                  //'websocket', 
                  //'flashsocket',
                  'htmlfile',
                  'xhr-multipart',
                  'xhr-polling']
            })

        socket.on('connect',
            function() {
                console.log(arguments);
            }
        );

        socket.on('message',
            function(data) {
                console.log(arguments);
            }
        );

回复收藏 0 原文

~没有更多了~