egg如何配session的samesite选项?

勇敢的少年
  • 856

文档中指名了egg-session引用了koa-session并且

Support all configurations in koa-session.

于是我按照koa-session配了samesite:

session: {
      key: 'DSESSIONID',
      maxAge: 2 * 3600 * 1000, // 2 小时
      httpOnly: true,
      encrypt: false,
      renew: true,
      sameSite: 'none',
    },

结果发出的cookie还是没有samesite配置:
image

感叹里的提示信息:samesite跨域了

补充:
当设置samesite为none时候 必须把secure设为true
参见:https://www.ruanyifeng.com/bl...

但是又引出新的问题:
没有https支持的网站如何绕过samesite的限制

求大神指导

评论
阅读 516
2 个回答

这个好像是chrome浏览器的默认设置问题,看看这个-->参考链接是否能解决你的问题。

没办法,这个安全策略就是“逼迫”后端上 SSL 的,好解决 CSRF 问题。

如果能绕过还咋逼迫?

何况又不是没给缓冲期,给了快一年半的准备时间让开发者升级了。

P.S. 有现成的 Let's Encrypt 之类的工具可以完全免费申请证书,Chrome / Firefox / Safari 几家近几年都在逐渐对 HTTP 站点加以各种限制,早晚你得升级。

撰写回答

登录后参与交流、获取后续更新提醒

宣传栏