Cookie中SameSite的问题与解决办法

最新推荐文章于 2024-05-22 11:10:22 发布
最新推荐文章于 2024-05-22 11:10:22 发布
阅读量2.1w 收藏 19
点赞数 8
分类专栏: 工作中遇到的问题 文章标签: cookie chrome web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JustDoSelf/article/details/108490114
版权

问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。

  由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-sitesecure属性来防止CSRF攻击。

解决方案:

一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的)
那肯定是pass掉
二、关掉Chrome浏览器的这个设置(由于安全性,所以该方法也是不推荐!)

首先在地址栏搜 chrome://flags,然后
在这里插入图片描述
注: 由于关掉了这些设置,所以有可能会发生CSRF攻击,有安全隐患,不建议。

三、使用https来保证后台接口安全性(虽然安全,但要花钱)
在使用https的前提下根据Chrome浏览器的提示,还需设置cookie的same-site和
secure属性。
例如:SameSite=None; Secure
四、将前端的url和后端请求接口设置为同一域名下即可

例如:

前端:http://qianduan.test.com
后端:http://houduan.test.com

这两个项目都属于 test.com 域名下,所以属于同站不同源,浏览器就会认为url和请求目标一致,并非第三方网站请求,所以就会成功发送cookie了。



same-site属性介绍

  • same-site:该属性值有三个,None,Lax,Strict三种;
    None:该规则是最为宽松的一种,不做任何限制,但是同时也需要设置secure,例如:
-  SameSite=None; Secure

** 注:** 当使用该规则时,则需使用https。

  • Lax:该规则较为宽松,大多数是不发送第三方cookie的,但是导航到目标网站的get请求除外。

图表参考于 http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

  • Strict:该规则是最为严格的,完全禁止发送第三方cookie,只有当前URL和请求目标一致才可以。
JustDoSelf
关注
  • 8
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
Cookie 的 SameSite 属性
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具cookie,并在https://www...
用Javascript读取COOKIE解决办法
10-31
用Javascript读取COOKIE解决办法
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15间件,用SameSite Cookie保护您的网站 :cookie: 要求 PHP 7.2+或8.0+ 安装 composer require selective/samesite-cookie SameSite Cookie 相同站点的cookie(“仅第一方”或“第一方”)使服务器断言特定的cookie只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。 警告: SameSite Cookie根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?php use Selective \ SameSiteCookie \ SameSiteCoo
解决新版chrome浏览器SameSite属性cookie拦截问题
carry_chenxiaodong的博客
03-02 1万+
问题现象: 最近升级了新版chrome浏览器后,发现系统正常iframe嵌套其他域名网站页面突然无法显示了,页面空白,但是请求未报错。 原因还原: 1、将嵌套页面的url单独窗口访问,一切正常(页面显示正常,页面请求正常获取cookie信息),排除iframe页面问题。 2、进一步尝试,将这个带有链接的iframe放在一个全新的html文件也不能正常访问,排除当前系统的iframe加载问题。 3、刚刚新建的html文件在火狐浏览器打开可以正常访问。 4、新版chrome浏览器访问...
Cookie属性SameSite作用
橘导的博客
04-29 306
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 1220
在yaml配置文件声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
记一次浏览器SameSite策略更新,导致接口 Failed to load response data 的解决过程
liyoro的专栏
01-22 4634
浏览器SameSite策略更新,会导致前端不发送Cookie,造成接口不返回数据,也就是Failed to load response data问题
具有不安全、不正确缺少SameSite属性Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确缺少SameSite属性Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
pageaudit属性正确_Cookie 的 SameSite 属性
weixin_39863918的博客
12-03 109
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。一、CSRF 攻击是什么?Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。举例来说,用户登陆了银行网站http://your-bank.com,银行服务器发来了一个 Cookie。Set-Cooki...
cookie的SameSite属性正确问题
最新发布
if_Echo_else的博客
05-22 492
根据上述,总共三种操作方式,汇整如下:最简单:设置chrom为禁用samesiteDJango版本低于2.1:引入库django-cookie-samesite来处理Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None。
javaServlet Cookie取不到原因解决办法
08-30
主要介绍了javaServlet Cookie取不到原因解决办法的相关资料,需要的朋友可以参考下
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie。 对于3DS付款,付款网关倾向于通过POST将请求发送到基于Magento的网站...
iframe跨域与session失效问题解决办法
01-21
第三方session/cookie指的是当前访问的网站会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息...
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
新版chrome跨域问题cookie之SameSite属性
Welcome to Domla's world
03-16 2万+
最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题: 发现问题: 登录界面前后端分离,ajax...
chrome cookie_新的chrome 80 cookie规则samesite如何不安全如何影响Web开发
weixin_26729165的博客
10-10 1033
chrome cookieAt the time of writing, the Chrome browser stands at Version 85.0.4183.102 and the initially introduced security update in Chrome Version 80 for cross-site cookie policy is now almost ava...
解决Cookie 具有缺失、不一致或矛盾属性
huan1213858的博客
12-07 4372
cookie
nginx配置 设置cookie的samesite属性
04-25
好的,对于这个问题,可以在nginx配置添加以下代码: ``` location / { add_header Set-Cookie "name=value; path=/; HttpOnly; SameSite=strict"; } ``` 其,Set-Cookie设置的是要设置的cookie名称和;path指定cookie在哪个路径下可用;HttpOnly表示cookie只能通过http/https传输,不能通过JavaScript访问;SameSite指定cookie在什么情况下可以发送,有三个选项:Strict表示只能在同源请求时发送,Lax表示除了GET请求之外的请求均可发送,None表示任何情况下都可以发送,但需要配合Secure属性使用。 注意,如果使用了SameSite属性,则必须同时设置Secure属性,以保证cookie只能在https安全连接传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JustDoSelf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值