Warm tip: This article is reproduced from serverfault.com, please click
cookies cors express node.js setcookie

node.js-为什么未在浏览器中设置res标头中的cookie?

(node.js - Why cookie in res headers is not set in browser?)

发布于 2020-11-27 10:28:34

我在后端运行,在http://localhost:4000前端运行http://localhost:3000在服务器(快速)中,我将cors策略设置为:

  app.use( cors({
    credentials: true,
    origin: "http://localhost:3000",
  }));

但是未设置cookie。请求后

POST /graphql HTTP/1.1
Host: localhost:4000
Connection: keep-alive
Content-Length: 373
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36
content-type: application/json
Accept: */*
Origin: http://localhost:3000
Sec-Fetch-Site: same-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://localhost:3000/register
Accept-Encoding: gzip, deflate, br
Accept-Language: et-EE,et;q=0.9,en-US;q=0.8,en;q=0.7

我返回了带有正确的响应头(?)Set-Cookie

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: http://localhost:3000
Vary: Origin
Access-Control-Allow-Credentials: true
Content-Type: application/json; charset=utf-8
Content-Length: 122
ETag: W/"7a-3NezKfolEhPugNDLsBCed9Xgfzk"
Set-Cookie: lirr=s%3A9JJT7_mt6W-zSWkg-DKkBmxK6O-i8bH3.1k88dMMeintjdSUMV6ig1DK5u4vgdYh4rnmtufww7nw; Path=/; Expires=Sat, 27 Nov 2021 09:31:14 GMT; HttpOnly; SameSite=Lax
Date: Fri, 27 Nov 2020 09:31:14 GMT
Connection: keep-alive
Keep-Alive: timeout=5

我尝试使用Chrome和Firefox,但均未设置Cookie。我的设置没有发现任何缺陷,标题似乎很好。我想念什么?

此外

如果让我从后端设置cookie(公开为Graphql API,可通过Graphql Playground访问),则可以通过以下req头正常工作:

POST /graphql HTTP/1.1
Host: localhost:4000
Connection: keep-alive
Content-Length: 323
accept: */*
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36
content-type: application/json
Origin: http://localhost:4000
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://localhost:4000/graphql
Accept-Encoding: gzip, deflate, br
Accept-Language: et-EE,et;q=0.9,en-US;q=0.8,en;q=0.7

据我所知,三行(按预期)有所不同:

Origin: http://localhost:4000
Sec-Fetch-Site: same-origin
Referer: http://localhost:4000/graphql

响应与前端的响应几乎相同:

HTTP/1.1 200 OK
X-Powered-By: Express
Access-Control-Allow-Origin: http://localhost:3000
Vary: Origin
Access-Control-Allow-Credentials: true
Content-Type: application/json; charset=utf-8
Content-Length: 75
ETag: W/"4b-Ud8RJ2O7ZjwpTxFNSAQi92iV20w"
Set-Cookie: lirr=s%3A9CYQjFpVwG69-ojwqlk-FJWVNC02DMJP.Prt8U5%2Bcco9ktEL27JoOkAlACGKS%2Fy1NHfgugPypl00; Path=/; Expires=Sat, 27 Nov 2021 10:32:37 GMT; HttpOnly; SameSite=Lax
Date: Fri, 27 Nov 2020 10:32:37 GMT
Connection: keep-alive
Keep-Alive: timeout=5

我不明白,为什么浏览器没有通过前端设置cookie ...

Questioner
w.k
Viewed
1
分享
John 2020-12-01 10:06:32

服务器端检查

你的设置对我来说很好。

  app.use( cors({
    credentials: true,
    origin: "http://localhost:3000",
  }));

我建议使用一些API工具(例如POSTman)测试你的代码,该工具会默认启用CORS请求如果它与POSTman一起使用,则你的服务器端代码没有问题。

CORS + Cookie的浏览器问题

简而言之,CORS请求不过是到不同域的XMLHttpRequest。https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS

根据以下文档, https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/withCredentials

此外,此标志还用于指示何时在响应中忽略cookie默认值为false来自其他域的XMLHttpRequest不能为自己的域设置cookie值,除非在发出请求之前将withCredentials设置为true通过将withCredentials设置为true获得的第三方cookie仍将遵循同源策略,因此,请求脚本无法通过document.cookie或从响应标头访问。

除非你启用它,否则浏览器将不会通过CORS request(XMLHttpRequest)接受/传输cookie。

xhr.withCredentials = true;

通过浏览器控制台的示例

//from http://localhost:3000
const xhr = new XMLHttpRequest();
const url = 'http://localhost:4000/get-cookie-url';
   
xhr.open('GET', url);
xhr.withCredentials = true; // enable browser to transfer cookies
xhr.onload = function(e){
  console.log(e)
};
xhr.send();

Cookie转移

为了说明这一点,cookie的传输类似于握手

双方都需要发起握手。如果一侧(服务器)启动而另一侧(客户端)未启动,则握手不会发生。

服务器启动Cookie传输时,

//Server response header
//Server will response with "Set-Cookie" header when browser requests
...
Set-Cookie: lirr=xxxx; ...
...

客户(浏览器)启动Cookie传输时,

//Client request header
//Client will request with "Cookie" header 
...
Cookie: lirr=xxxx; ....
...
w.k 2020-11-30 23:31:32

通过邮递员,我设置了cookie。好主意,谢谢!接下来,您的链接给了我一些寻找“凭证”客户端的提示。github.com/benawad/how-to-debug-cookies中,我知道了如何在客户端添加“ withCredentials”。如果我添加,则根据需要设置cookie。但是:我看不到标题中的任何区别,即使在预检中也没有。实际的一半解决了,但是理论上我仍然不清楚。

John 2020-12-01 00:28:29

@wk,干得好,很高兴听到您整理了其中的一些内容。为了说明这一点,Cookie传输与握手非常相似。我将用一些详细信息更新上面的帖子。

w.k 2020-12-01 00:48:17

我想,在阅读了有关CORS的更多信息后,我很清楚:我使用urqlcreateClient函数,该函数将JSRequest()用于HTTP请求。Request具有默认的“ same-origin” credentials如果我没有将其客户端设置为“ include”,它只会忽略未按原始来源设置的cookie。我假设此信息已包含在标头中,但它们已在客户端进行管理。再次感谢您,您的提示使我找到了解决方案。

John 2020-12-01 01:51:37

@wk,太棒了👍,谢谢,您的问题对我来说也很好。自从netscape时代以来,Web浏览器标准已经发生了很大变化。另外,我们的工具/框架在下面也很抽象。因此,有时我们会感到困惑。🤣

热门帖子

1
学英语的朋友们可以来看看 https://langplayground.top/
2
华中科大的计算机技术的在职硕士,职场认可度如何?
3
十兆宽带 100 块钱一个月我是活在 80 年代吗?
4
关于高质量 屏幕共享的问题
5
我是真的受不了打小报告的三八了!
6
怎么管理自己的文件体系
7
[开发者自荐] AirBattery: 在 Mac 端获取所有设备的电量并显示在 Dock 或状态栏上
8
南京移动 IPV6 被停
9
WireGuard 跨国组网失败后,一个新工具的诞生
10
你的 IDEA(2024.1) 在 macOS 上崩吗?

热门github

1
Implementation of paper - YOLOv9: Learning What You Want to Learn Using Programmable Gradient Information (翻译:论文实现——YOLOv9: Learning What You Want to Learn using Programmable Gradient Information(利用可编程梯度信息学习您想学的内容))
2
A Windows and Office activator using HWID / Ohook / KMS38 / Online KMS activation methods, with a focus on open-source code and fewer antivirus detections. (翻译:使用 HWID / KMS38 / Online KMS 激活方法激活 Microsoft 产品的脚本集合,重点是开源代码、较少的防病毒检测和用户友好性。)
3
Get up and running with Llama 2, Mistral, Gemma, and other large language models. (翻译:启动并运行 Llama 2、Mistral、Gemma 和其他大型语言模型。)
4
该项目可以让你通过订阅的方式使用Cloudflare WARP+,自动获取流量。This project enables you to use Cloudflare WARP+ through subscription, automatically acquiring traffic.
5
Multi functional app to find duplicates, empty folders, similar images etc. (翻译:多功能应用程序可查找重复项、空文件夹、相似图像等。)
6
Xray panel supporting multi-protocol multi-user expire day & traffic & ip limit (Vmess & Vless & Trojan & ShadowSocks & Wireguard) (翻译:Xray面板支持多协议多用户到期日&流量&IP限制(Vmess & Vless & Trojan & ShadowSocks & Wireguard)
7
The Free Software Media System (翻译:Jellyfin 是一个免费软件媒体系统,可让您控制管理和流式传输您的媒体。它是专有 Emby 和 Plex 的替代方案,通过多个应用程序从专用服务器向最终用户设备提供媒体。)
8
lightweight, standalone C++ inference engine for Google's Gemma models. (翻译:适用于 Google Gemma 模型的轻量级独立 C++ 推理引擎。)
9
📚 Freely available programming books (翻译:📚 免费提供的编程书籍)
10
A collective list of free APIs (翻译:免费 API 的集合列表)
11
1️⃣🐝🏎️ The One Billion Row Challenge -- A fun exploration of how quickly 1B rows from a text file can be aggregated with Java (翻译:十亿行挑战 —— 使用 Java 对文本文件中的 10 亿行数据进行聚合的有趣探索)
12
🎓 Path to a free self-taught education in Computer Science! (翻译:🎓计算机科学免费自学教程!)
13
Curso para aprender el lenguaje de programación Python desde cero y para principiantes. 75 clases, 37 horas en vídeo, código, proyectos y grupo de chat. Fundamentos, frontend, backend, testing, IA... (翻译:从零开始学习 Python 编程语言的课程,适合初学者)
14
This repository contains System Design resources which are useful while preparing for interviews and learning Distributed Systems (翻译:该存储库包含系统设计资源,在准备面试和学习分布式系统时非常有用)
15
Mamba is a new state space model architecture showing promising performance on information-dense data such as language modeling, where previous subquadratic models fall short of Transformers. It is based on the line of progress on structured state space models, with an efficient hardware-aware design and implementation in the spirit of FlashAttention. (翻译:Mamba 是一种新的状态空间模型架构,在信息密集型数据(例如语言建模)上显示出良好的性能,而之前的二次模型在 Transformers 方面存在不足。它基于结构化状态空间模型的进展,并本着FlashAttention的精神进行高效的硬件感知设计和实现。)