一 、问题描述:
你是否在加载第三方页面的时候遇到如下问题?
1、iframe无法加载链接,拷贝出iframe的src却可以在浏览器访问(chrome浏览器);
2、 iframe可以在 Firefox、IE 正常加载,但无法在 Edge 、chrome 加载;
…
二、原因分析:
1、chrome在80版本以后,更改了SameSite的默认值, 80版本以前是None,80版本以后是LaxSameSite到底是什么?
是cookie的一个属性,用来限制第三方Cookie。默认值有3种:Strict、Lax、None
- Strict 仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致。
- Lax 允许部分第三方请求携带 Cookie
- None 无论是否跨站都会发送 Cookie
设置了Lax,影响发送cookie的有如下情况:
请求 | chrome80以前 | Strict | Lax | None |
---|---|---|---|---|
a 标签 <a href="…"> </a > 预加载 <link rel=“prerender” href="…"/> get 表单 <form method=“GET” action="…"> | 发送cookie | 不发送cookie | 发送cookie | 发送cookie |
post 表单 <form method=“POST” action="…"> iframe <iframe src="…"></iframe> AJAX请求 Image <img src="…"> | 发送cookie | 不发送cookie | 不发送cookie | 发送cookie |
三、解决方案:
有了以上的原因分析,那么解决方案就迎刃而解了。
1、服务端设置
服务端在Set-Cookie时,同时设定属性 :SameSite=None; Secure ,注意这两个必须同时设置才行。
设置成功后可以在相关请求的Response Header中可以查看,如下:
Set-Cookie: JSESSIONID=65AB0YHMO0FE83EEFA55OKJD5AB1F26F; Path=/WebReport; Secure; HttpOnly;SameSite=None
2、本地浏览器解决(不推荐)
浏览器输入:chrome://flags/ 输入SameSite查找,找到 same-site-by-default-cookies 和 cookies-without-same-site-must-be-secure ,设置为 Disabled ,重启浏览器。
不推荐此方案
第一,你不可能让每个用户都这样设置
第二:作者我当时找了半天,没有找到,去外网一检索,发现chrome 91版本浏览器已经去除了这两项设置(如下图)。也就是说,老版本浏览器可以设置,91以上版本就没发设置了。
总结
每天记录一点,从小小菜鸟变小菜鸟!!!