新手问题 关于 Rails 6 设置 cookie same site 为 None 的问题
因为前端 axios 请求 Rails api 登录时(登录标识使用 cookie),响应头提示 This Set-Cookie was blocked because it had the "SameSite=Lax" attribute but come from a cross-site response whith was not the response to a top-level navigation。
google 得出的结论是要把 "SameSite=Lax" 改为 "SameSite=None" ,但是我试了几个方法都不管用:
在
config/application.rb里边添加一行config.action_dispatch.cookies_same_site_protection = :none,结果无效在
config/initializers/session_store.rb里边设置same_site: :none
结果运行时报错,提示
ArgumentError (Invalid SameSite value: :none):
rack (2.0.8) lib/rack/utils.rb:260:in `add_cookie_to_header'
actionpack (6.0.1) lib/action_dispatch/middleware/cookies.rb:439:in `block in make_set_cookie_header'
actionpack (6.0.1) lib/action_dispatch/middleware/cookies.rb:437:in `each'
actionpack (6.0.1) lib/action_dispatch/middleware/cookies.rb:437:in `inject'
actionpack (6.0.1) lib/action_dispatch/middleware/cookies.rb:437:in `make_set_cookie_header'
actionpack (6.0.1) lib/action_dispatch/middleware/cookies.rb:423:in `write'
actionpack (6.0.1) lib/action_dispatch/middleware/cookies.rb:653:in `call'
想请教下应该怎样设置 Same-Site
登录的 api 是用 grape api 写的,rails 使用 docker 部署,使用 nginx 做转发,session_store 使用的是 cache_store,但是我改为 cookie_store 也没有用
环境:
- ruby 2.6.6
- rails 6.0.1
- grape 1.5.1
same_site: 'None' 试下。另外再说下,如果你想跨站携带 cookie 的话,除了将 cookie 的 SameSite 设置为 None,还要设置 Secure 属性,最后还要用 https
radiocontroller
回复
试了下,:None,'None' 结果都是一样的,这里用的是 https,secure 的话上面的配置文件已经判断了,如果是 https 的话就是 secure,还是不行
spike76
回复
查了下,不同的子域名的确是被判断为 Same-Site 的,也应该这样子做。不过本地要测试的话就不行了,看了下有个 gem 叫 rails_same_site_cookie 的,这个用了中间件,试了的确可以设置成功,不过作者说到 2022 年 chrome 就不再支持第三方 cookie 了,到时候类似的 gem 都会失效。新版本的 safari 也不支持第三方 cookie 了,所以最好还是放在同一个父域名下吧。thx
