经查询相关资料,原来是Google在2020年2月4号发布的 Chrome 80 版本,中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上SameSite=Lax
属性,并且拒绝非Secure的Cookie设为SameSite=None
,此举是为了从源头屏蔽 CSRF 漏洞。
cas的认证过程中,会存储TGC到浏览器的cookie中,谷歌浏览器的升级,导致 chrome 在跨站(cross-site)的情况下是否已经无法set cookie,从而导致了cas的认证过程中断。
下列已知场景会在 Chrome 80 中受到影响:
- 组件数据基于第三方登陆态的 API 请求
检查您的组件是否使用了 API,并且 API 是否基于第三方网站的登录态返回相关用户数据,如果是,请往下看:
使用的 API 为 HTTPS 协议:请看 方案三
使用的 API 为 HTTP 协议:请看 方案三
- http 本地部署
影响:Chrome 80 会拦截 http 协议下的登陆功能,导致整个本地部署服务无法使用
解决方案:方案一 或 方案二 或 方案三
方案一 手动设置
Chrome 中打开 chrome://flags/#same-site-by-default-cookies 和 chrome://flags/#cookies-without-same-site-must-be-secure ,设置为 Disabled ,重启浏览器。
方案二 版本回退
降级到 Chrome 79 及以下版本,并关闭自动更新。
方案一、二需要用户改变浏览器环境,用户肯定不乐意……
方案三 (非同域应用)
此场景需要将 API 切换为 HTTPS 协议(需要有 SSL 证书),并且检查响应头中的 Set-Cookie 中是否包含了 SameSite=None 和 Secure字样。
方案四(同域应用)
把所有应用做到同域。例如使用nginx反向代理。
甲方的系统一般都是由多方共同参与的,出现问题的场景正好是,A供应商的系统通过iframe的方式集成了B供应商的页面,B供应商的系统是使用cas实现单点的。对于我们来说,方案四就行不通咯。
1、关于 Chrome (谷歌浏览器)升级到 80 后可能产生的影响以及解决方案
2、关于 chrome 80 后出现的 SameSite 问题
感谢您的赏读。客官,点赞、留言再走呗~或者留下您的问题一起探讨
结尾
这不止是一份面试清单,更是一种”被期望的责任“,因为有无数个待面试者,希望从这篇文章中,找出通往期望公司的”钥匙“,所以上面每道选题都是结合我自身的经验于千万个面试题中经过艰辛的两周,一个题一个题筛选出来再次对好答案和格式做出来的,面试的答案也是再三斟酌,深怕误人子弟是小,影响他人仕途才是大过,也希望您能把这篇文章分享给更多的朋友,让他帮助更多的人,帮助他人,快乐自己,最后,感谢您的阅读。
由于细节内容实在太多啦,在这里我花了两周的时间把这些答案整理成一份文档了,在这里只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!
加入社区:https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0
,在这里只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!**
加入社区:https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0