egg如何配session的samesite选项?
文档中指名了egg-session引用了koa-session并且
Support all configurations in koa-session.
于是我按照koa-session配了samesite:
session: {key: 'DSESSIONID',
maxAge: 2 * 3600 * 1000, // 2 小时
httpOnly: true,
encrypt: false,
renew: true,
sameSite: 'none',
},
结果发出的cookie还是没有samesite配置:
感叹里的提示信息:samesite跨域了
补充:
当设置samesite为none时候 必须把secure设为true
参见:https://www.ruanyifeng.com/bl...
但是又引出新的问题:
没有https支持的网站如何绕过samesite的限制
求大神指导
回答
这个好像是chrome浏览器的默认设置问题,看看这个-->参考链接是否能解决你的问题。
没办法,这个安全策略就是“逼迫”后端上 SSL 的,好解决 CSRF 问题。
如果能绕过还咋逼迫?
何况又不是没给缓冲期,给了快一年半的准备时间让开发者升级了。
P.S. 有现成的 Let's Encrypt 之类的工具可以完全免费申请证书,Chrome / Firefox / Safari 几家近几年都在逐渐对 HTTP 站点加以各种限制,早晚你得升级。
以上是 egg如何配session的samesite选项? 的全部内容, 来源链接: utcz.com/a/83079.html