这是Chrome中的“错误”,不是您的应用程序有问题。(如果其他浏览器更改了策略,也会影响其他浏览器。)
RFC
2109描述了cookie的处理方式,似乎表明cookie域必须是具有TLD(.com,.net等)的FQDN或完全匹配的IP地址。在原来的Netscape的cookie规范完全不提的IP地址。
Chrome开发人员决定比其他浏览器更严格地接受cookie域的值。尽管他们一度纠正了一个阻止IP地址上的cookie的错误,但此后他们显然已经退后,并且不允许非FQDN域(包括本地主机)
或 IP地址上的cookie 。他们说他们 不会 解决此问题,因为他们不认为这是一个错误。
“正常” cookie有效但会话cookie无效的原因是,您没有为“正常”
cookie设置域(这是一个可选参数),但是Flask自动将会话cookie的域设置为
SERVER_NAME。Chrome(和其他浏览器)接受不带域的cookie,并将其自动设置为响应域,因此观察到了行为上的差异。如果将域设置为IP地址,则可以观察到正常的cookie失败。
在开发过程中,您可以通过在本地主机上运行该应用程序来解决此问题,而不是将其默认设置为127.0.0.1。Flask有一个解决方法,如果服务器名称是localhost,则不会发送会话cookie的域。
app.run('localhost')在生产中,没有任何真正的解决方案。您可以在域而不是IP上提供服务,这可以解决该问题,但在您的环境中可能无法实现。您可以要求所有客户都使用Chrome以外的其他工具,这是不实际的。或者,您可以为Flask提供不同的会话接口,该接口对本地主机已经使用的IP执行相同的解决方法,尽管这在某种程度上可能是不安全的。
Chrome不允许该域具有IP地址的cookie,并且没有实际的解决方法。
