nodejs 的 express-session 模块之 cookie.secure 选项使用注意事项

最新推荐文章于 2023-04-15 23:20:31 发布
最新推荐文章于 2023-04-15 23:20:31 发布
阅读量4.1k 收藏 1
点赞数 2
分类专栏: Node.js 文章标签: nodejs express session cookie secure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/testcs_dn/article/details/54237515
版权
本文详细介绍了Node.js中express-session模块的cookie.secure选项使用注意事项。当设置为true时,若浏览器未使用HTTPS连接,客户端将不会发送cookie给服务器。此外,文章还探讨了secure选项与其他配置项如trustproxy之间的相互作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nodejs 的 express-session 模块之 cookie.secure 选项使用注意事项

请注意,将此设置为true时,如果浏览器没有使用HTTPS连接,客户端将不会将cookie发送回服务器。

请注意,secure:true是推荐的选项。 但是,它需要一个启用https的网站,即,安全cookie HTTPS是必需的。 如果设置了安全,并且您通过HTTP访问您的网站,则不会设置Cookie。 如果您的node.js位于代理后面并且正在使用 secure:true,则需要在express中设置“trust proxy”: 

var app = express()
app.set('trust proxy', 1) // trust first proxy
app.use(session({
  secret: 'keyboard cat',
  resave: false,
  saveUninitialized: true,
  cookie: { secure: true }
}))
以上内容参考:https://github.com/expressjs/session#cookie
我个人的测试得到的结果是,如果设置了: secure:true 选项,服务端使用“req.session.user = query_doc.userid;”设置Cookie, 但是通过Chrome的开发者工具查看,Response Header 中根本不会包含“ set-cookie”,

也就是说  Cookie 根本不会发送给客户端浏览器。
rolling:强制在每一个response中都发送session标识符的cookie。如果把expiration设置为一个过去的时间那么 那么过期时间设置为默认的值。roling默认是false。如果把这个值设置为true但是saveUnitialized设置为false,那么cookie不会被包含在响应中(没有初始化的session)

secret 是必需的选项,这是用于签名会话ID cookie的密钥。这可以是单个密钥的字符串或多个秘密的数组。如果提供了一组密钥,只有第一个元素将用于签名会话ID cookie,而在验证请求中的签名时,将考虑所有元素。参考:https://github.com/expressjs/session

======================文档信息===========================

版权声明:非商用自由转载-保持署名-注明出处

署名(BY) :testcs_dn(微wx笑)

文章出处:[无知人生,记录点滴](http://blog.csdn.net/testcs_dn)

express会话中间件express-session
蛐蛐的博客
02-03 304
地址:https://github.com/expressjs/session 1.安装 这是通过npm注册表提供的Node.js模块使用以下命令完成安装:npm install $ npm install express-session 2.API 2.1 session(options) 使用给定的options创建会话中间件。 var session = require('express-session') 注意:会话数据不会保存在cooki...
nodejs死亡笔记之cookiesession(宇宙级框架express
热门推荐
mystery的博客
08-17 1万+
首先,我必须义正言辞的吐槽一下这个宇宙级框架!express3.x和expss4.x差别怎么就那么大呢?找了好多资料来学习,但总是莫名其妙的报错,一开始我以为是因为我长得不好看,后来发现。。。我用的是4.x的express,而教程是3.x的,好多都对不上号。我@#¥%……&*()&……¥好了,吐槽结束,进入正题。作为一个励志改变世界的程序员,我们必须紧跟时代的潮流,所以nodejs死亡笔记都是基于e
express-session secure: true
weixin_38938336的博客
03-26 411
app.use(session({ secret: 'keyboard cat', resave: false, saveUninitialized: true, cookie:{secure:true} })) 在本机测试时session没有存住,是因为 If a cookie is set with thesecureflag, it wil...
nodeexpress-session设置sameSite和secure不生效且session丢失
wzp20092009的博客
04-15 1517
一般在node环境里,设置跨域请求需要配置sameSite和secure的值,但以下配置往往不生效。
node.js操作Cookie
u012732909的博客
07-26 1273
通过node.js建立了一个完整的网站不是一件容易的事,这涉及读取页面模板,从数据库中抽出数据构建成新的页面返回给客户端。但光是这样还不行,我们还要设置首部,在chrome中如果CSS没有设置正确的Content-Type,会不起作用的。此处理还要考虑访问量,要设置缓存,缓存不单单是把东西从内存中读入读出就行,这样会撑爆电脑内存的,这用LRU算法(最近最少用的数据会清空出内存)。基于Cookie与数据库与URL重写,我们发展出一个session机制用于在多个action中通信。对于不同的请求交由不同的act
nodejs中对cookie的理解
weixin_41277748的博客
03-26 717
cookie 的比喻 cookie类似于一个卡包,专门用于存放各种出入证,并有着一套机制来自动管理这些证件。卡包内的每一张卡片,称之为一个cookiecookie的组成 key:键,比如「身份编号」 value:值,比如袁小进的身份编号「14563D1550F2F76D69ECBF4DD54ABC95」,这有点像卡片的条形码,当然,它可以是任何信息 domain:域,表达这个cookie是属于哪个网站的,比如yuanjin.tech,表示这个cookie是属于yuanjin.tech这个网站.
node.js 中间件express-session使用详解
10-19
使用express-session时,还可以结合其他的node.js模块如redis或者MongoDB等数据库,来实现session信息的持久化存储,这样即便在服务器重启后,用户的登录状态和其他会话信息仍然可以被恢复和保持。 使用express-...
Express中间件简易指南:使用express-session管理会话
-使用`express-session`与`cookie-parser`中间件时,如果两者都配置了`secret`选项,可能会出现冲突。这是因为`cookie-parser`也是用来处理cookie,而且它可能不会与`express-session`很好地协同工作。 - `...
深入理解node.js express-session配置
"本文详细解析了在Node.js中使用Express-session进行session管理的配置选项,包括其作用、默认存储问题以及可接受的参数设置。" 在Node.js开发中,Express框架提供了一个强大的中间件——express-session,用于处理...
cookie的基本概念
qq_45448359的博客
03-04 703
一个不大不小的问题 假设服务器有一个接口,通过请求这个接口,可以添加一个管理员 但是,不是任何人都有权力做这种操作的 那么服务器如何知道请求接口的人是有权力的呢? 答案是:只有登录过的管理员才能做这种操作 可问题是,客户端和服务器的传输使用的是http协议,http协议是无状态的,什么叫无状态,就是服务器不知道这一次请求的人,跟之前登录请求成功的人是不是同一个人 由于http协议的无状态,服务器忘记了之前的所有请求,它无法确定这一次请求的客户端,就是之前登录成功的那个客户端。 你可以把服务器想象成有着
express中的cookiesession
junmoxiao的博客
07-08 435
一、无状态的HTTP HTTP是无状态协议, 简单的说, 当你浏览了一个页面, 然后转到同一个网站的另一个页面, 服务器无法认识到, 这是同一个浏览器在访问同一个网站,换句话说,服务器无法识别两条http请求是否是同一个用户发送的。 也就是说服务器端并没有记录通信状态的能力。但是, 为了用户体验, 我们确实需要让服务器能够记忆用户的一些信息。 cookie应运而生; 二、cookie cookie是一个简单到爆的想法: 当访问一个页面的时候,服务器在下行http报文中,命令浏览器存储一个字符串;浏览器再访问
基于nodeJscookie的学习笔记
Qin_xian_shen的博客
09-08 1788
Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网的快速发展,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态。为了适应用户的需求,技术上推出了各种保持Web浏览状态的手段,其中就包括了Cookie技术。 网站常常需要记录访问者的一些一些基本信息,例如如身份识别号码、密码、用户在 Web 站点购物的方式或用户访问该站点的次数。 网站为了辨别用户身份、进行
web安全问题扫描 ---加密会话(SSL)Cookie 中缺少 Secure 属性--node服务器解决方案-原来是Securetrue挖了坑
MrZachary_zlc的博客
12-02 2242
cookie中的Secure值得作用 : 该属性的作用是是否允许以https协议的方式传递cookie;(开启与否通过观察前后端交互的响应头中是否包含此字段即可:set-cookie); 强行解决带来的问题: 把session中配置的secure属性值直接改成true,会出现会话错误的问题,导致系统无法登陆; 出现原因分析: 你的网站站点中使用到https协议,但是你的node服务器(或java或拍黄片服务器)是通过sessioncookie的方式跟踪服务端与客户端会话状态的(使用token时暂未遇到该问
关于相同domain下的cookie设置securetrue的时候,无法登录的问题
weixin_42498253的博客
08-10 1493
cookiesecure属性
web.xml配置cookie-config的securetrue时引发的血案
xiaozhuangyumaotao的博客
05-24 7667
一个普通的不能再普通的登录场景:登录成功之后把用户信息放入session: request.getSession().setAttribute("antiUser",user); 以后使用的时候再从session里面取出: AntiUserantiUser=(AntiUser)request.getSession().getAttribute("antiUser"); 本地运行没有任何问题,开玩笑,搞了那么多年java,这点功能还不是小意思?但是,接下来问题来了,当把项目部署到测试环境上...
cookie及加密
small_rain_的博客
01-21 1299
命令: express --view=ejs cookieapp cnpm install nodemon ./bin/www app.js的基本内容 // 错误处理 var createError = require('http-errors'); var express = require('express'); var path = require('path'); var cookieParser = require('cookie-parser'); // 输出日志 var lo.
proxy代理解析
weixin_51719919的博客
01-11 3977
同源策略是浏览器的安全机制,用反向代理方便前端请求后端数据,解决跨域问题,服务器和服务器之间没有跨域问题,浏览器才会识别到跨域 MDN对Proxy 的定义是: Proxy对象用于定义基本操作的自定义行为(如属性查找、赋值、枚举、函数调用等)。 通俗的将,Proxy对象是目标对象的一个代理器,任何对目标对象的访问,都必须通过该代理器。因此我们可以对外界的访问进行过滤改写等操作。 在前端项目中配置的proxy各个参数解析如下: 举例说明: 如果你要访问的地址是 “https://randomuser.me/a
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值