app.use(session(
{
...
proxy: true,
resave: true,
saveUninitialized: true
}
));
我找到了一个关于快速 session 的教程,他们有一个 proxy: true 选项。我可以将其保留为 true 吗?这是做什么的?包含它是不是更好?我知道代理是什么,但我真的不明白为什么这是一个选项?
最佳答案
fine manual状态:
Trust the reverse proxy when setting secure cookies (via the "X-Forwarded-Proto" header).
这是指客户端不直接连接到 Node 服务器,而是通过反向代理连接的情况。例如,客户端连接到 NGINX Web 服务器,该服务器将请求转发到 Node 服务器;在这种情况下,NGINX 是反向代理。
在反向代理设置中,客户端通过 HTTPS 与反向代理通信,而代理使用纯 HTTP 与 Node 服务器通信也很常见。
当您将 session 中间件配置为使用所谓的“安全 cookie”(记录为 here)时,就会出现此问题。 session 中间件不允许通过纯 HTTP 发送这些 cookie,但要求它们通过 HTTPS 发送。如果您的反向代理通过 HTTP 与您的 Node 服务器进行通信,这将意味着您将无法使用安全 cookie。
为了解决这个问题,反向代理将设置X-Forwarded-Proto它转发的每个请求的 header 。它告诉 Node 服务器请求的原始协议(protocol)是什么,无论反向代理如何连接到 Node 服务器。
与 proxy session 中间件的选项,您告诉它信任此 header 并允许通过纯 HTTP 发送安全 cookie,前提是 X-Forwarded-Proto设置为https .
如果您直接公开 Node 服务器(以便客户端连接到它),则应将此选项设置为 false ,因为否则,客户端可以欺骗您的服务器(通过发送 X-Forwarded-Proto header 本身),使其认为连接是安全的。但是,如果您不使用安全 cookie,那也没关系。
关于Node.js Express-Session 代理选项有什么作用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30802322/