Passport.js維護CROS域會話

Question

我將我的應用分爲3輪結構。我的服務器在node.js上運行，前端是一個角度應用程序。我正在使用護照進行用戶登錄和身份驗證。我注意到的行爲是我的護照登錄無法在前端應用上保持跨域會話。

我的服務器運行在localhost：3000和localhost：9000上的前端應用程序。

我試圖通過給選項配置CROS請求快遞：

app.use(function(req, res, next) { 
    res.header('Access-Control-Allow-Credentials', true); 
    res.header('Access-Control-Allow-Origin', req.headers.origin); 
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE'); 
    res.header('Access-Control-Allow-Headers', 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept'); 
    if ('OPTIONS' == req.method) { 
      res.send(200); 
     } else { 
      next(); 
     } 
    }); 

也儘量的CRO模塊中的NodeJS但沒有制定出對我這樣。任何幫助或建議表示讚賞。

Answer 1

您必須使用csurf進行跨域預防。

無論您何時請求任何頁面，例如，如果您當時從服務器請求登錄頁面，服務器會向此請求發送令牌，並且您必須以帶隱藏字段的形式進行設置，並且當您將此表單提交給服務器端服務器檢查這個令牌。

https://github.com/expressjs/csurf

http://maximilianschmitt.me/posts/tutorial-csrf-express-4/

Answer 2

CROS！= CORS

https://en.wikipedia.org/wiki/Cross-origin_resource_sharing

CORS用於只允許從特定域的請求即req.headers.origin

您必須使用passportjs配置前端應用程序以維護會話。