egg如何配session的samesite选项？

• Z时代
• 2024-01-10
• 分类：技术分享

文档中指名了egg-session引用了koa-session并且

Support all configurations in koa-session.

于是我按照koa-session配了samesite：

session: {
key: 'DSESSIONID',
maxAge: 2 * 3600 * 1000, // 2 小时
httpOnly: true,
encrypt: false,
renew: true,
sameSite: 'none',
},

结果发出的cookie还是没有samesite配置：

感叹里的提示信息：samesite跨域了

补充：
当设置samesite为none时候 必须把secure设为true
参见：https://www.ruanyifeng.com/bl...

但是又引出新的问题：
没有https支持的网站如何绕过samesite的限制

求大神指导

回答

这个好像是chrome浏览器的默认设置问题，看看这个-->参考链接是否能解决你的问题。

没办法，这个安全策略就是“逼迫”后端上 SSL 的，好解决 CSRF 问题。

如果能绕过还咋逼迫？

何况又不是没给缓冲期，给了快一年半的准备时间让开发者升级了。

P.S. 有现成的 Let's Encrypt 之类的工具可以完全免费申请证书，Chrome / Firefox / Safari 几家近几年都在逐渐对 HTTP 站点加以各种限制，早晚你得升级。

以上是 egg如何配session的samesite选项？ 的全部内容， 来源链接： utcz.com/a/83079.html