nodejs 的 express-session 子產品之 cookie.secure 選項使用注意事項

nodejs 的 express-session 子產品之 cookie.secure 選項使用注意事項

請注意，将此設定為true時，如果浏覽器沒有使用HTTPS連接配接，用戶端将不會将cookie發送回伺服器。

請注意，secure：true是推薦的選項。但是，它需要一個啟用https的網站，即，安全cookie HTTPS是必需的。如果設定了安全，并且您通過HTTP通路您的網站，則不會設定Cookie。如果您的node.js位于代理後面并且正在使用 secure：true，則需要在express中設定“trust proxy”：

以上内容參考：https://github.com/expressjs/session#cookie

我個人的測試得到的結果是，如果設定了：secure：true 選項，服務端使用“req.session.user = query_doc.userid;”設定Cookie，但是通過Chrome的開發者工具檢視，Response Header 中根本不會包含“set-cookie”，

也就是說 Cookie 根本不會發送給用戶端浏覽器。

rolling:強制在每一個response中都發送session辨別符的cookie。如果把expiration設定為一個過去的時間那麼 那麼過期時間設定為預設的值。roling預設是false。如果把這個值設定為true但是saveUnitialized設定為false,那麼cookie不會被包含在響應中(沒有初始化的session)

======================文檔資訊===========================

版權聲明：非商用自由轉載-保持署名-注明出處

署名(BY) ：testcs_dn(微wx笑)

文章出處：[無知人生，記錄點滴](http://blog.csdn.net/testcs_dn)