Всем привет!
У меня имеется сервер, расположеный под доментом myserver.com. Настройки: HttpOnly=false, SameSite=None, Secure=true
У меня имеется ngrok (чтобы https было), проксирующий запросы на localhost:3000.
Но вот незадача: я не могу прочитать session cookie через консоль. Как так? Ведь все нужные атрибуты на сервере отключены/включены.
А если я зайду на сайт myserver.com и введу в консоли document.cookie, то все будет видно.
Получается, что я НИКАК не могу разрешить кросс-доменное чтение куки (не используя всякие хаки в виде сабдоменов и прочего) ?
̶S̶e̶c̶u̶r̶e̶=̶f̶a̶l̶s̶e̶ ̶п̶о̶п̶р̶о̶б̶у̶й̶т̶е̶ ̶-̶-̶ ̶с̶у̶д̶я̶ ̶п̶о̶ ̶м̶а̶н̶у̶а̶л̶а̶м̶ ̶д̶о̶л̶ж̶н̶о̶ ̶п̶р̶о̶к̶а̶т̶и̶т̶ь̶.̶ Но cors безопасность давно на откупе производителей браузеров и каждый городит что хочет (когда последний раз возникли проблемы самым дружелюбным оказался яндекс-браузер)
P.S. пока отвечал на комментарий, перечитал MDN и там написано, что джаваскрипту недоступны не Secure, а HttpOnly кукисы (хотя я уверен, что год назад было наоборот (может, я идиот)) соответственно сейчас у вас всё по идее правильно (если нет проблем с Expires и Domain с Path) если можете -- уберите HttpOnly вообще (чтобы оно в настройках не упоминалось). Правда гугл в данном случае не обязан следовать мануалам мазилы.
djEban, год назад разрешал ещё (сейчас не уверен), а два года назад было достаточно SameSite=None, а три и это было не обязательно -- гайки закручивают из версии в версию.
Кукисы с вашими текущими настройками (по идее) не должны сломаться никогда, НО HttpOnly (и я где-то читал, что секюр) не доступны джавасриту (если вам не нужен доступ из джаваскрипта, то можете оставить всё как есть (гдавное убедитесь через девтулс что ккисы и правда устанавливаются))
Средний
Простой
