统一认证,跨域cookie写入问题,修改sameSite。

已于 2023-06-21 16:47:48 修改
阅读量1.3k 收藏 4
点赞数
分类专栏: Java 文章标签: java spring servlet 后端
于 2023-06-21 16:43:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thog_13/article/details/131329880
版权

场景:认证中心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题。

在做oauth2.0授权的时候,第三方平台需要用到cookie进行内部鉴权,这个时候不同域的情况下,会导致cookie无法写入。主要解决方式是修改cookie的sameSite属性。
这里的sameSite属性其实是限制cookie的,有三种策略,严格模式-strict,宽松模式-lax,以及none。而我们目前要用到的就是none的模式,在这种模式下,必须同时启用Secure才行。
1. javax.servlet.http包下面的cookie是无法修改sameSite属性的,需要先引入下面这个依赖
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
            <version>3.1.0</version>
        </dependency>
2. 需要考虑到浏览器兼容问题,360或者搜狗有些低版本不支持修改,但他们本身是不需要修改sameSite就可以正常写入cookie的,而谷歌或者edge则需要修改sameSite。下面做一个兼容处理。
    /**
     * 判断是否支持SameSite=None
     *
     * @param request
     * @return true(不支持), false(支持)
     */
    public static Boolean disallowsSameSiteNone(HttpServletRequest request) {
        String userAgent = request.getHeader("User-Agent");
        if (StringUtils.isEmpty(userAgent)) {
            return false;
        }

        // Cover all iOS based browsers here. This includes:
        // - Safari on iOS 12 for iPhone, iPod Touch, iPad
        // - WkWebview on iOS 12 for iPhone, iPod Touch, iPad
        // - Chrome on iOS 12 for iPhone, iPod Touch, iPad
        // All of which are broken by SameSite=None, because they use the iOS networking
        // stack.
        if (userAgent.contains("CPU iPhone OS 12") || userAgent.contains("iPad; CPU OS 12")) {
            return true;
        }

        // Cover Mac OS X based browsers that use the Mac OS networking stack.
        // This includes:
        // - Safari on Mac OS X.
        // This does not include:
        // - Chrome on Mac OS X
        // Because they do not use the Mac OS networking stack.
        if (userAgent.contains("Macintosh; Intel Mac OS X 10_14") &&
                userAgent.contains("Version/") && userAgent.contains("Safari")) {
            return true;
        }

        // Cover Chrome 50-69, because some versions are broken by SameSite=None,
        // and none in this range require it.
        // Note: this covers some pre-Chromium Edge versions,
        // but pre-Chromium Edge does not require SameSite=None.
        if (userAgent.contains("Chrome/5") || userAgent.contains("Chrome/6")) {
            return true;
        }

        return false;
    }
3.利用DefaultCookieSerializer对cookie进行特殊处理,这里需要注意useSecureCookie需要设置为true;其次是serializer默认useBase64Encoding = true,会将你设置的cookie值自动进行编码,这里根据你的实际情况进行处理。
    public static void authCookie(HttpServletRequest request, HttpServletResponse response,
                                  String name, String value, Long expires) {

        // 判断浏览器是否支持SameSite=None
        Boolean flag = disallowsSameSiteNone(request);
        if (flag) {
            // 不支持
            Cookie cookie = new Cookie(name, value);
            cookie.setPath("/");
            cookie.setHttpOnly(true);
            cookie.setMaxAge(Math.toIntExact(expires));
            response.addCookie(cookie);
            return;
        }
        // 支持
        DefaultCookieSerializer serializer = new DefaultCookieSerializer();
        serializer.setCookieName(name);
        serializer.setCookieMaxAge(Math.toIntExact(expires));
        serializer.setCookiePath("/");
        serializer.setSameSite("NONE");
        serializer.setUseSecureCookie(true);
        serializer.setUseBase64Encoding(false);

        // 写入cookie
        CookieSerializer.CookieValue cookieValue = new CookieSerializer.CookieValue(request, response, value);
        serializer.writeCookieValue(cookieValue);

    }
serializer具体的实现细节可以查阅源码writeCookieValue方法。
闲来卖花
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Chrome SameSite策略导致cookie写入失败解决方案
Hui-1018的博客
06-04 2258
一 、问题描述: 你是否在加载第三方页面的时候遇到如下问题? 1、iframe无法加载链接,拷贝出iframe的src却可以在浏览器访问(chrome浏览器); 2、 iframe可以在 Firefox、IE 正常加载,但无法在 Edge 、chrome 加载; … 二、原因分析: 1、chrome在80版本以后,更改了SameSite的默认值, 80版本以前是None,80版本以后是Lax SameSite到底是什么? 是cookie的一个属性,用来限制第三方Cookie。默认值有3种:St
跨域读写Cookie
weixin_30376509的博客
12-01 509
原文链接 Cookie作用域 Cookie 在二级域名下是可以共享的,如www.a.com 和m.a.com 他们的Cookie 是可以共享的,这也是很多单点登录利用Cookie实现的原理,但是很多站点不是二级域名的如www.taobao.com和www.tmall.com,它们是完成两个不同的域名,那么完全不同的域名可以共享Cookie吗?答案是可以的,我们看一下实现...
理解前端Cookie中的SameSite属性
最新发布
Keep trying, keep going
06-12 269
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
Cookie 的 SameSite 属性
weixin_55802150的博客
08-03 1544
不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
SpringMVC跨域写入Cookie
无心
07-08 1109
后端完全分离的项目,SpringMVC+Tomcat(SpringBoot),前端Vue+axios。下面是示例,把你不需要的删掉就可以。
asp.net(C#)跨域跨域Cookie问题
01-01
解决方法是: 代码如下: //www.B.com里的被调用的页面需要写P3P头,从而解除IE对写Cookie的阻止 context.Response.AddHeader(“P3P”, “CP=CAO PSA OUR”); //www.A.com里通过ajax调用www.B.com里的内容时,是跨域...
基于axios 解决跨域cookie丢失的问题
10-17
在Web开发中,跨域问题常常困扰着开发者,特别是涉及到登录认证、状态保持等场景时,因为浏览器的同源策略会阻止跨域请求携带cookies。然而,有些情况下我们需要在跨域请求中保持登录状态,这就涉及到如何处理跨域...
Ajax跨域访问Cookie丢失问题的解决方法
10-20
主要介绍了Ajax跨域访问Cookie丢失问题的解决方法,需要的朋友可以参考下
SameSite Cookie导致的跨域请求session保持失效
闫玉林的博客
10-29 2408
引入原因 浏览器安全性 防止跨站攻击CSRF等 废除第三方cookie cookie简介 Cookie 是通过 web 浏览器从网站发送并存储在计算机上的文本字符串。 它们通常用于身份验证和个性化设置,例如,撤回有状态的信息、保留用户设置、录制浏览活动以及显示相关广告。 Cookie 始终链接到特定域,并且可以由各方安装。 Cookie 和 HTTP 请求 在引入 SameSite 限制之前,cookie 存储在浏览器中时,它们被附加到每个HTTP web 请求,并通过设置 Cookie HTTP 响应
SpringBoot 为 Cookie 设置 SameSite
weixin_44951259的博客
11-13 1482
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。
Springboot应用中设置Cookie的SameSite属性
csdn_0xFFFF的博客
08-31 5212
Cookie除了key和value以外有几个属性。 httpOnly 是否允许js读取cookie secure 是否仅仅在https的链接下,才提交cookie domain cookie提交的域 path cookie提交的path maxAge cookie存活时间 sameSite 同站策略,枚举值:Strict Lax None 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie 新增加了一个 SameSite 属性,用来防止 CSRF 攻击和用户追踪。 关于S
[Java]Spring增加Cookie属性SameSite
qq_28033719的博客
07-01 5820
前言: SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。 SameSite: 防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...
chorme 80浏览器 的iframe 报错samesite问题
qq_41566366的博客
08-04 2205
我们有三个站,为了实现登录状态的同步,使用了iframe。但是在使用iframe的时候,一直samesite的错,经过公司大佬查询才发现,这是因为chrome升级到80版本后,默认开启了samesite。 快速解决方案: 1、打开Chrome设置,将chrome://flags/#same-site-by-default-cookies禁用,然后重启浏览器。 2、将SameSite属性值改为None, 同时 将secure属性设置为true。且需要将后端服务域名必须使用https协议访问。 3、由于
浏览器系列之 Cookie 和 SameSite 属性
小易不止于搬砖的博客
07-05 1300
Cookie设置、属性
SSM框架下的项目设置SameSite属性方法
鹄望潇湘的博客
04-08 8174
近期Chrome更改了SameSite属性的默认值,导致跨域网站中出现了一些提示: 解决办法如下: 我的网站实际上有两个部分组成,前端和后端。其实这个SameSite属性是在Response中设置的,如果使用了SSM框架,则在注解的有@Controller的类中添加一个函数: @ModelAttribute public void setReqAndRes(HttpServletReq...
前端Cookie基础知识
weixin_45092437的博客
02-28 1万+
Cookie(也称为Web Cookie、浏览器Cookie等等)是服务器发送到用户浏览器并保存在本地的一小块数据,该数据通常是用户账号相关的信息,不同浏览器对Cookie的数量和大小限制不同,但一般来说,单域名下设置cookie不能超过30个,单条cookie的大小不能超过4kb。如果Cookie超出浏览器限制,则会被浏览器忽略,不被保存。而且Cookie可以设置过期时间,到达过期时间后,浏览器就会把Cookie清除掉。​
java(tomcat)如何设置cookie samesite属性
m0_67393157的博客
09-07 2316
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!
通过iframe嵌入三方系统时遇到的跨域问题及解决方案
_老逄
10-30 1万+
总结在iframe嵌入第三方系统时遇到的跨域访问问题
postMessage跨域写入cookie
09-15
在同一个域名下,我们可以使用 `document.cookie` 来写入 cookie,但是在跨域的情况下,我们需要使用 postMessage 来进行通信,并且在接收到消息后在本地写入 cookie。 以下是一个示例,假设我们有两个域名:`http://a.com` 和 `http://b.com`,我们需要在 `http://a.com` 中写入一个名为 `token` 的 cookie,并且从 `http://b.com` 中发出消息: 在 `http://b.com` 中发送消息: ```javascript const targetWindow = window.parent; // 获取父窗口 const message = JSON.stringify({ type: 'setCookie', name: 'token', value: 'mytoken' }); // 构造消息 targetWindow.postMessage(message, 'http://a.com'); // 发送消息 ``` 在 `http://a.com` 中接收消息并写入 cookie: ```javascript window.addEventListener('message', (event) => { if (event.origin !== 'http://b.com') return; // 验证消息来源 const data = JSON.parse(event.data); if (data.type === 'setCookie') { document.cookie = `${data.name}=${data.value}; domain=.a.com`; // 写入 cookie } }); ``` 需要注意的是,写入 cookie 时需要指定 cookie 的域名,这里使用了 `.a.com`,表示该 cookie 在 `a.com` 及其子域名下都可用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值