Chrome80调整SameSite策略对IdentityServer4的影响以及处理方案(践行篇)

最新推荐文章于 2023-04-26 16:38:55 发布
最新推荐文章于 2023-04-26 16:38:55 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: 集成整合 代码 ABP .NET Core 文章标签: samesite chrome 浏览器 跨域 ACAO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S2T11Enterprise/article/details/108514763
版权

原文地址:How to prepare your IdentityServer for Chrome's SameSite cookie changes - and how to deal with Safari, nevertheless

翻译地址:Chrome80调整SameSite策略对IdentityServer4的影响以及处理方案

首选方法:将域名升级为 HTTPS。低成本的证书申请请参见《阿里云免费 SSL 证书申请》

方法二:使用代码修改 SameSite 设置

如果没有域名或内网环境,可以使用该方法。源码在文末的参考文档中复制下来可以直接用。

private const SameSiteMode Unspecified = (SameSiteMode)(-1);

改为

private const SameSiteMode Unspecified = SameSiteMode.Lax;

在 Startup 平级的地方新增 SameSiteCookiesServiceCollectionExtensions 类,然后在 Startup.cs 中新增3行代码

第一行:

public IServiceProvider ConfigureServices(IServiceCollection services)
{
    ...
    services.ConfigureNonBreakingSameSiteCookies();
    ...
}

第二、三行:

public void Configure(IApplicationBuilder app, IWebHostEnvironment env, ILoggerFactory loggerFactory)
{
    // Add this before any other middleware that might write cookies
    app.UseCookiePolicy();

    ...
    // This will write cookies, so make sure it's after the cookie policy
    app.UseAuthentication();
    ...
}

如注释中提到的,二、三行对引用时机有要求,所以将 app.UseCookiePolicy() 放在一开始,然后在后面引入 app.UseAuthentication()。

方法三:修改 Nginx 规则

proxy_cookie_path / "/; httponly; secure; SameSite=None;";

 

本文主要是对方法二的实践,并将代码部署到 IIS 10.0.17763.1 中通过测试。

另外如注释中提到的4个 .NET Core 版本(2.1.14、2.2.8、3.0.1、3.1.0-preview1)当前运行的代码为 3.1.0 看起来没问题。如果不在此行列中的版本建议使用方法一、三的低成本方法。

方法四:修改浏览器设置

不到万不得已,不应该采用此方法。毕竟 B/S 类型的应用适用与大范围的网络用户,不大可能要求用户自己修改浏览器设置,并且还有大批只会使用鼠标点点点的用户,不能指望用户修改设置来解决问题。所以此方法仅仅适用于在本地调试时使用。下面是 Chrome 浏览器的修改方法。

  1. 打开浏览器,在地址栏输入:chrome://flags/;
  2. 在搜索框中输入 “samesite” 关键字;
  3. 将 “SameSite by default cookies”、"Enable removing SameSite=None cookies" 分别设置为 Disabled
  4. 点击 “Relaunch” 生效;

改完后如下图:

参考文档:

Chrome80调整SameSite策略对IdentityServer4的影响以及处理方案(翻译)

使用 cookie ASP.NET Core 中的 SameSite

在 ASP.NET Core 中使用 SameSite cookieWork with SameSite cookies in ASP.NET Core

免费下载文章中涉及的扩展类源码

Johan.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS的SameSite Cookies
xiaocui0601的专栏
12-29 3825
SameSiteCookies是缓解跨站请求伪造攻击的好技术。唯一的缺点是,并不是所有的浏览器都支持它们(哎呀……看着你IE)。 您可能会发现的另一个缺点是,大多数应用程序服务器软件尚不支持它们,例如javax.servlet.http.Cookie尚不支持(因此,像CFML之类的语言也可能在等待添加),PHP具有RFC,希望将其添加到其中。在7.3中,ASP.NET Core已将它们添加到2....
chrome-same-site
07-16
将指定网站上的 Cookie 恢复为旧版 SameSite 行为,下载之后将baidu.com改为自己需要设置的域名
cdp4j:cdp4j-适用于Java的Chrome DevTools协议
01-28
重要声明:新版本未发布到GitHub,也未公开可用。 请与我们联系以下载新的cdp4j版本。 cdp4j-Java的浏览器自动化库 cdp4j是Java库,具有清晰简洁的API,可自动执行基于Chrome / Chromium的浏览器。 它使用Google Chrome DevTools协议来自动化基于Chrome / Chromium的浏览器。 cdp4j可以做什么? 自动填写表格。 您可以轻松下载和上传文本,图像,处理PDF文件或截屏。 与Web应用程序之间的数据导入或导出。 从Web提取任何类型的数据。 自动化Web上传/下载。 主要特点 支持Chrome DevTools协议的全部功能() PDF打印机 评估JavaScript 调用JavaScript函数 从浏览器(JavaScript)调用Java函数 支持本地CSS选择器引擎 支持XPath查询 隐身浏览(私有标签) 全页截屏 支持并行运行 自动等待DOM更改完成 触发鼠标事件(单击等...) 发送键(文本,标签,回车等) 将日志条目(JavaScript,网络,存储等)从浏览器重定向到slf4j,lo
SameSite .NET Core(2.1/2.2/3.0/3.1)源码
09-11
SameSiteCookiesServiceCollectionExtensions.cs 解决 Chrome浏览器因为 SameSite 导致的问题。 使用方法参见:https://asdfg.blog.csdn.net/article/details/108514763
chrome中position:fixed对z-index的影响
02-26
页面如图:divA是一个悬浮磁条,固定宽度居中。有个子元素A-child右浮动。浏览器向下滚动时实现下图效果:B挡住A,A-child挡住B。dom结构:正常的实现方式很容易:因为B本身就在A的后面,当A和B都设置了position属性(非static),且没有设置z-index的时候,其层叠关系是后面的元素覆盖前面的元素,这样只需要给A-child设置z-index属性值即可。less代码:除chrome浏览器以外,IE8+和其它浏览器效果正常(当然IE6,7也有问题)。chrome下如图:A-child无法覆盖B元素。后来发现是chrome22+以后的一个改动,参考链接:Thestacki
对setInterval在火狐和chrome切换标签产生奇怪的效果之探索,与解决方案
01-19
在上一文章: 觉得猪八戒网左下角的文字滚动,效果不错,自己摸索了一下,以自己的方法实现了! 就有这种效果,不过影响不大。Demo的影响就大了! 网上也有人出现过这样的问题看下面的帖子地址: firefox 6下 setInterval的一个问题 讨论的人很多,但没给出答案来。 怎么想都想不明白! 今天,突然茅塞顿开,可能是线程的概念,但是具体原因还是不明白,希望有人了解其原应告知,非常感激! Demo 中黑色的Div是不受浏览器标签切换影响的 而红色的Div会受到影响。HTML: 代码如下: <div id=”move” style=”position: absolute; width:
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
IdentityServer4系列 | 授权码模式
dotNET跨平台
12-05 1690
一、前言在上一关于简化模式中,通过客户端以浏览器的形式请求「IdentityServer」服务获取访问令牌,从而请求获取受保护的资源,但由于token携带在url中,安全性方面不能保证...
使用IdentityServer出现过SameSite Cookie这个问题吗?
dotNET跨平台
04-30 362
原文作者:Sebastian Gingter原文链接:https://reurl.cc/Dygrgd译者:沙漠尽头的狼译文链接:https://reurl.cc/1ZYNoQ本文是作者2019年的一分享,里面的一些观点和使用的技术,对我们现在的开发依然有效,建议查看原文阅读,对本文翻译如有疑问,欢迎提PR[1]。首先,好消息:Google 将在 2020 年 2 月发布...
identityserver4参考链接 及取消https认证
最新发布
卢小亦的博客
04-26 207
identityserver4 配置 及取消https认证
跨域cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 6980
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
【问题解决】SameSiteMode.None取不到session问题
机智如我
08-14 1273
SameSiteMode.None取不到session问题问题描述问题原因SameSite解决方式 问题描述 在.net core 2.1 环境下,设置SameSiteMode.None,同时设置options.CheckConsentNeeded = context => false;依旧session为空。浏览器为chorme。 问题原因 根据微软描述,ASP.NET Core 2.1 内置了对SameSite属性的支持,但它已写入原始标准。 修补后的行为更改了的含义 SameSite.None
ASP.NET Core Cookie SameSite
dotNET跨平台
09-13 827
在较多的项目中,Cookie 是比较常用的一种状态保持的选择。比如常见的例子:用户登录成功后,服务器通过 set-cookie 将会话Id设置到当前域下,前端在调用后端接口时,会自动将同...
跨站请求,nginx配置
weixin_39048143的博客
09-06 885
location /front/ { proxy_set_header Host $host; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Real-IP $remote_addr; #添加设置sameSitenone ...
IIS跨域配置,支持身份验证,asp.net后端无需修改代码
Mr.Xiao
01-01 694
iis通过配置文件灵活支持跨域请求的方法,同时支持身份验证。
跨域请求无法携带Cookie的解决方案
godflowerszzz的博客
07-07 1548
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失 在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用N
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用
weixin_34409822的博客
06-01 1004
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录时 Antiforgery Token 总是验证失败。 日志中记录的对应错误是 Antiforgery token validation failed. The required antiforgery cookie "xxx.Antiforgery" is not present. 今天在...
如何解决IdentityServer4使用chrome 80版本进行登录后无法跳转的问题
omage的专栏
03-22 2683
最近学习identityserver4时发现一个问题,使用chrome最新80的版本在登录后始终跳回到登录页面,用IE浏览器试了正常,经过网上搜索后发现原来是由于: HTTP:浏览器的 SameSite 更改会影响身份验证 某些浏览器(如 Chrome 和 Firefox)对 Cookie 的SameSite实现进行了中断性变更。这些变更会影响 OpenID Connect ...
如何让chrome可以 samesite by default cookies
04-20
可以通过在Chrome浏览器URL栏中输入chrome://flags/#same-site-by-default-cookies并启用SameSite by default cookies标志来实现。启用此功能后,Chrome浏览器将根据SameSite属性自动为所有cookie添加SameSite属性。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值