新版chrome跨域问题:cookie之SameSite属性

最新推荐文章于 2023-05-16 09:55:50 发布
最新推荐文章于 2023-05-16 09:55:50 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: 记录问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChinaMuZhe/article/details/117650289
版权

背景:

在系统A中使用<iframe>标签嵌入了系统B的页面,系统A,B均集成单点登录。系统A登录后,即可直接访问系统B的页面,无需重复登录

问题:

忽一天,发现访问系统B页面时候,页面提示“重定向次数过多”。打开控制台,发现调用系统B的ssocallback接口三次。

定位原因:

直接原因:系统A登录成功后,访问系统B的Request Header中,没有携带代表用户身份的cookie

根本原因:chrome版本升级,samesite默认等于lax,即不允许跨域携带cookie

解决:

在系统B的回调接口中设置Response Header中的set-cookie值。代码如下:注意属性顺序

在原set-cookie值得基础上,拼接";Secure;SameSite=None"即可

好用点个赞,谢谢。

ChinaMuZhe
关注
专栏目录
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5389
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3780
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
热门推荐
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
超简洁Chrome插件 94版本Cookie SameSite 跨站解决方案
q291947864的博客
09-30 1008
超简洁一键开启Chrome>94版本cookie共享
google浏览器cookie的SameSite属性导致跨域情况下cookie无法传递的问题
明豆的博客
03-18 4829
2019年2月4号谷歌发布Chrome 80稳定版后,关于cookie的SameSite属性做了以下更改: (1)没有设置SameSite属性的默认SameSite=Lax; (2)SameSite=None的cookie则必须设置为Secure,即安全链接(https)。 大家可能不是很了解SameSite属性,它是在Chrome51版本新增的一个属性,主要是用来防止第三方恶意获取c...
新版Chrome跟进的Cookie SameSite策略,你真的了解吗?
qq_30236895的博客
03-06 7793
Cookie是什么?cookies是你访问网站时创建的数据片段文件,通过保存浏览信息,它们使你的在线体验更加轻松。 使用cookies,可以使你保持在线登录状态,记录你的站点偏好,并为你提供本地化支持。 First-party cookies or Third-party cookies 第一方cookie由你访问的站点创建。该站点指的是地址栏显示的站点; 第三方cookie是由其他站点创建的。这...
Cookie Samesite简析
最新发布
の博客
05-16 707
Cookie Samesite简析
Cookies的SameSite属性
weixsun的博客
04-19 2209
Chrome 51版本开始,浏览器的 Cookies 新增了一个SameSite属性,用来防止 CSRF 攻击和信息泄漏,更多信息参考chrome Feature: 'SameSite' cookie attribute。 简单回顾什么是CSRF攻击 Cookies往往用来存储用户的身份信息,恶意网站通过设法伪造带有正确Cookies进行 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Coo
完美解决Chrome Cookie SameSite跨站限制
josiah_zhao的博客
03-10 7263
问题背景 在前后端分离的大趋势下,如果没有额外的配置部署方案,前端地址和后台API地址是不一样的。比如在本地开发调试阶段,前端地址为http://localhost:3000,后台API地址为http://api.server.com/api/list。 那么地址不一样会有什么问题呢? 如果你请求的后台API需要携带Cookie进行鉴权,那么在这种地址不一样的情况下,会因为浏览器的Cookie SameSite的跨站限制,导致Cookie不会被正确传递,进而导致请求API接口总是报错没有认证或者权限不足。
谷歌浏览器google80以上版本开发调试跨域问题处理,SameSite设置
qq445829096的博客
09-02 3130
谷歌浏览器跨域问题,系统登录后,从session获取用户信息还是提示登录超时, 后台已经设置了允许127.0.0.1:8080跨域,其他内核浏览器只要后台设置跨域后都没这个问题,谷歌内核特殊 网上也有查找谷歌的一些安全性的设置 经过查询资料发现: 从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置当前默认是关闭的在Chrome 80之后,该功能默认已开启 1、快...
chrome浏览器解决跨域请求SameSite方案
kaosini的专栏
09-28 1048
chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
Chrome 同站策略(samesite)问题探究
大魔王sama的博客
10-12 1852
项目背景 需求是一个类似 Disqus 的用户评论系统,用户评论模块使用 Iframe 嵌入到其他网站;但是用户属于公共的用户系统,所以使用单点登录,需要用到登录系统生成的 Cookie。 问题及探究 用户评论模块通过 Cookie 调取用户信息时,控制台提示: this set-cookie didnot specify a "sameSite" attribute and was defaulted to "sameSite=Lax" and broke the same rules specified
google浏览器cookie跨域携带和samesite的问题
weixin_45670469的博客
07-13 2774
前端时间项目登录过程中使用google登录一直登录不上,知道是google版本更新,一直没时间来解决,这次抽空把这个问题解决下,做一些说明记录
Nginx配置解决Chrome浏览器SameSite跨域问题
shijin741231的博客
08-31 6159
Nginx配置解决Chrome浏览器SameSite跨域问题 最近联调接口,反复遇到chrome跨域问题,本来解决也很顺畅,结果突然有一个客户非要使用chrome 63的版本。。。。。。我折腾半天也没太好的办法,只能通过nginx去识别chrome浏览器版本决定返回cookie值来解决。 参考链接: 参考链接: Chrome修改了cookie安全策略. 参考链接: 通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失. 参考链接: 关于IE下面iframe跨域 co
如何解决 chrome 不允许跨站请求 samesite
nongcunqq的博客
08-28 2093
1.在地址栏输入 chrome://flags/#cookies-without-same-site-must-be-secure 2.搜索 same,disable如下几个 3.点击relaunch,重新载入,使刚才的设置生效 操作过程中还遇到一邪门问题,cookie中sessionId出现两次,导致cookie验证失败,搜索无果,后来手动查看cookie,发现一个属于www.h.com,另一个属于.h.com,地址栏输入 chrome://settings/siteData?search=cook
只有当cookie设置为“samesite=none”和“secure”时_Web 前端新手应该了解的Cookie知识...
weixin_39860732的博客
11-28 7392
正在学习web前端的朋友对Cookie应该不陌生,Cookie是辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据,是web前端中比较重要的知识点。今天小编就为大家带来了这篇文章,让我们一起来看一看Web 前端新手应该了解的Cookie知识。一、Cookie的出现浏览器和服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的...
谷歌新版本跨域错误深度剖析与解决:request client is not a secure context and the resource is in more-private address
Flywithdawn的博客
12-09 2万+
request client is not a secure context and the resource is in more-private address解决方案 preflight预检请求options请求解决方案 详细分析谷歌专用网络错误导致的跨域问题的原因以及给出相关解决方案
浏览器默认设置SameSite属性的作用
oi
01-30 7283
系列文章目录 文章目录系列文章目录一、CSRF 攻击是什么二、SameSite 属性 一、CSRF 攻击是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造 CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。 一个典型的CSRF攻击有
C#解决WebBrowser控件跨域问题:访问IFrame内容
"这篇文章主要介绍了如何使用C#的WebBrowser控件解决在处理不同域名间的跨域问题,尤其是在涉及到IFrame嵌套页面时遇到的问题。通过一个实例演示了如何实现跨域通信,允许用户在主页面输入搜索词,并在IFrame内的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值