【发布时间】:2020-11-22 18:59:06
【问题描述】:
我有一个仅限 Rails 5 API 的应用程序,并希望在响应 JSON 请求时发送 cookie。当我使用 ActionDispatch::Cookies 在请求的响应中设置 cookie 时,它不会在响应中设置 Set-Cookie 标头。虽然response.set_cookie 确实有效。
我还测试了在应用程序控制器中制作after_action 挂钩,我看到Set-Cookie 标头在 response.headers 中不存在,但 cookies['name_of_cookie'] 存在。我还想问的一个问题是,这些 cookie(ActionDispatch::Cookies) 何时设置标头作为响应?它发生在机架上吗?
要求
- 我们想在 CORS 请求中设置 cookie。
- 我们要为所有来源设置 cookie
已经实现的内容
- 客户端用
withCredentials发送请求 - 在响应中存在
Access-Control-Allow-Credentials: true和Access-Control-Allow-Origin: <origin (request.headers['origin'])> - 由于它是 Rails API 唯一的应用程序,我们在应用程序中包含以下中间件
config.middleware.use ActionDispatch::Cookies
config.middleware.use ActionDispatch::Session::CookieStore, key: '_namespace_key'
问题
- 为什么 ActionDispatch::Cookies 不工作,但 response.set_cookie 工作?
- ActionDispatch::Cookies 何时设置响应头?它发生在 Rails 应用程序中的任何
after回调挂钩中,还是发生在机架中?因为直到 applicaton_controller 中的after_action之前,标头都不存在。
奇怪
- 在开发环境和我的本地计算机上它可以工作,但不能在生产环境中工作。它是否与 cookie 的
domain设置有关?我还在生产中使用安全和 httponly cookie,但在开发中只使用 httponly。
我在这里缺少什么?我花了几天时间寻找问题,但找不到解决方法。任何线索都会非常有帮助。谢谢
编辑 1
cookies[@name.to_sym] = {
value: @value,
expires: @expire,
httponly: true,
same_site: 'None',
secure: false # It works when I set it to false but doesn't work with `true` in production. In development env it works with either one.
}
response.set_cookie(
@name.to_sym,
value: @value,
expires: @expire,
httponly: true,
secure: true
)
我观察到一件事。如果我在 cookie 中设置 secure: false,那么它可以在生产中使用,但不适用于 secure: true。另一方面,secure: true 在生产环境中使用 response.set_cookie。
我的 request.protocol 是 HTTP。如果请求协议是 HTTP 并且配置了 secure: true 选项,ActionDispatch::Cookies 是否可能甚至不设置 cookie。
但我认为secure: true 是针对客户端的。就像如果 cookie 是安全的,那么浏览器只会通过 https 协议发送它。我错过了什么?
【问题讨论】:
标签: ruby-on-rails ruby cookies actiondispatch rack-cors