Браузер не устанавливает cookie, даже если он присутствует в заголовках ответа

Question

В моем ответе присутствует заголовок set-cookie, но браузер, похоже, не хранит его (в почтальоне он работает как шарм).Мой API написан на .NET Core, и я использую Axios (React) на клиенте.Однако запросы клиентов передаются через экспресс-сервер для целей SSR.

Я опробовал несколько решений, опубликованных здесь.От основ установки значения свойства withCredentials до true в axios до установки значения MinimumSameSitePolicy на сервере равным нулю, которое можно увидеть в коде.

Сервер

services.Configure<CookiePolicyOptions>(options =>
            {
                // This lambda determines whether user consent for non-essential cookies is needed for a given request.
                options.CheckConsentNeeded = context => false;
                options.MinimumSameSitePolicy = SameSiteMode.None;
                options.ConsentCookie.HttpOnly = false;
            });
..........
 app.UseCookiePolicy(new CookiePolicyOptions
            {
                MinimumSameSitePolicy = SameSiteMode.None,
                HttpOnly = HttpOnlyPolicy.None
            });

Клиент

const axiosInstance = axios.create({
  baseURL: '/api',
  withCredentials: true,
  headers: {
    'Access-Control-Allow-Origin': 'http://localhost:3000/',
    'Content-Type': 'application/json'
  }
});

Прокси

app.use(
  '/api',
  proxy('https://localhost:44364/', {
    proxyReqOptDecorator(opts) {
      opts.rejectUnauthorized = false;
      opts.headers['x-forwarded-host'] = 'localhost:3000';
      return opts;
    },
    proxyReqPathResolver(req) {
      return `/api${req.url}`;
    }
  })
);

Ответ с cookie:

HTTP/1.1 200 OK
x-powered-by: ASP.NET
cache-control: no-cache
pragma: no-cache
content-type: text/plain; charset=utf-8
expires: Thu, 01 Jan 1970 00:00:00 GMT
server: Kestrel
set-cookie: .AspNetCore.Cookies=CfDJ8KvV0sFM8_FJqzJkoUey_LvYSADPHUA20Mq40db0KYSbL9Q2ZjS2JW87G8CzcTDBIpG1H6mZ_nuThzOniga7oRpguIgi3xIFCjkY5D0DXwT98ZVejY7nzLaCmV9rGLMkkqqADbr0zzwUkzXQqtWMtubY0cdHXPskTWFucMjjYk0BU4eCuWOjRzooL-QtwYtDClP720LVetm8lZGvAS6jfYpk-HWZIQiDo1ERKqhyIWKYqSFBEN0nV4ykL6KhfqEjcK8URzTEnBxdV7dCpk287smjAzTvOziRWfO6BtpxXC2tZ9NBeTLLqitn_CaAypewt9qMnjMi75zazo6yicRlTsDp-i3LT0OkD_ls1celSeG1VPlTg0OMVm0nADpZurMT9LSrijsSrcFT0wvNSTeW9vE; path=/; secure; samesite=lax; httponly
x-sourcefiles: =?UTF-8?B?QzpcVXNlcnNcTWFrYWxhXERlc2t0b3BcUm91dG9yaWFsXFJvdXRvcmlhbEFQSVxSb3V0b3JpYWxBUElcUm91dG9yaWFsQVBJXGFwaVxhY2NvdW50XGxvZ2luU3VibWl0?=
date: Sun, 26 May 2019 15:47:32 GMT
connection: close
Content-Length: 6
ETag: W/"6-+3OfqLi6+pGCkKvbVPPQANDiBD4"

Answer 1

Спасибо @ Син Цзоу!Ваш ответ был близок и заставил меня думать в правильном направлении.CookiePolicyOptions вообще не работали и, похоже, не переопределяли параметры по умолчанию.Вместо этого я использовал

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
        .AddCookie(options =>
        {
             options.Cookie.SameSite = SameSiteMode.None;
             options.Cookie.HttpOnly = true;
             options.Cookie.SecurePolicy = CookieSecurePolicy.None;
        });

в ConfigureServices и

 app.UseAuthentication();

в Configure.

Браузер не устанавливал cookie, когда у него был флаг безопасности, поэтому он должен былбыть отключенным с

options.Cookie.SecurePolicy = CookieSecurePolicy.None;

Answer 2

В версии 2.0 ядро ​​asp.net ввело новое поведение: по умолчанию оно добавляет атрибут samesite=lax ко всем заголовкам set-cookie.

Параметр промежуточного программного обеспечения политики cookie для MinimumSameSitePolicy может повлиять на вашнастройка Cookie.SameSite в CookieAuthenticationOptions

Попробуйте явно переопределить это поведение по умолчанию в Startup.ConfigureServices:

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
            .AddCookie(options =>
            {
                options => options.Cookie.SameSite = SameSiteMode.None;
            });

См. AspNet Core Identity, как установить параметры.Cookie.SameSite