Cookie-SameSite属性 前端请求不带cookie的问题解决方案

最新推荐文章于 2024-07-15 01:28:40 发布
最新推荐文章于 2024-07-15 01:28:40 发布
阅读量1.1k 收藏 11
点赞数 8
分类专栏: 经验分享 文章标签: 前端 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W9940/article/details/139721377
版权

最近遇到了前端请求后端不带cookie的问题,

请求时header里面就是没有cookie
查看响应应该是这个问题

在这里插入图片描述

SameSite是一个cookie属性,用于控制浏览器是否在跨站点请求中发送cookie。它有三个可能的值:

1. Strict(严格模式)

在严格模式下,浏览器将不会在跨站点请求中发送cookie。这意味着这些cookie将仅用于同站点请求。这是默认设置。

2. Lax(宽松模式)

在宽松模式下,浏览器将仅在跨站点POST请求(例如表单提交)中发送cookie。任何跨站点请求(包括GET请求)都不会发送cookie。这可以提供一定程度的保护,同时允许一些常见的用例。

3. None(无限制模式)

在无限制模式下,浏览器将在所有跨站点请求中发送cookie。这是因为cookie的SameSite属性默认为Strict,需要明确设置为None来允许跨站点请求发送cookie。

SameSite属性的目的是防止跨站点请求伪造(CSRF)攻击。通过限制哪些请求可以发送cookie,可以减少攻击者对用户身份验证的滥用。

需要注意的是,SameSite属性对于旧版本的浏览器可能不起作用,因此应该采取其他措施来防止CSRF攻击。此外,SameSite属性也不会提供完全的保护,只能作为一种额外的安全层。

设置SameSite

    // 设置Cookie的SameSite属性为None,并启用Secure标志
    Cookie cookie = new Cookie("JSESSIONID", request.getSession().getId());
    cookie.setPath("/");
    cookie.setHttpOnly(true); // 保持HttpOnly属性以增强安全性
    cookie.setSecure(true); // 必须在HTTPS环境下设置为true,因为SameSite=None要求安全上下文
    cookie.setSameSite(Cookie.SameSite.NONE.getValue()); // 设置SameSite为None,注意这需要Servlet 5.0+支持

但是无法使用Cookie中的方法 setSameSite
我正在使用的Java Servlet API版本不支持直接设置SameSite属性。Cookie.setSameSite()方法是在Servlet 5.0规范中引入的。如果你的项目依赖于早期版本的Servlet API,无法直接调用这个方法。

手动设置响应头来实现SameSite=None,同时确保设置Secure标志,因为大多数浏览器在SameSite=None时要求使用HTTPS。

在后端拦截器中加入下面代码显式配置响应头

String sessionID = request.getSession().getId();
response.setHeader("Set-Cookie", String.format("JSESSIONID=%s; Path=/; Secure; HttpOnly; SameSite=None", sessionID));

前端请求头成功携带cookie

一岁就可帅-
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
警告: SameSite Cookie根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?phpuse ...
解决前端登录成功之后,往后端发请求携带cookie问题
m0_73966521的博客
07-03 1169
总结一下就是:我一直把我的cookie种在了http://localhost:8080/api这个域,不过http://localhost:8080/api和 http://127.0.0.1:5173/并不是一个域,所以,我在访问 http://127.0.0.1:5173/这个域名的时候,我就一直找不到cookie。说回这个Cookie在项目中的作用,当我们成功登录之后,浏览器产生了这个Cookie,如果我们想访问其它页面的话,就需要携带这个Cookie,要不然后端是不认识你的。
Cookie 的 SameSite 属性
日积月累的博客
11-22 6664
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端
chrome F12 隐藏cookie字段问题
最新发布
Anthony路人甲的博客
07-15 745
chrome F12 隐藏cookie字段问题
跨域cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 7620
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
服务器通过响应头向浏览器设置cookie,http响应包括设置cookie jession id,但随后发送请求请求标头中没有cookie信息...
weixin_30015183的博客
08-04 906
第一请求响应:cache: no-cacheConnection: keep-aliveContent-Type: image/pngDate: Tue, 10 May 2016 10:47:43 GMTServer: Tengine/2.1.1Set-Cookie: _uid=CiMDa1cxvE+jjDeFAw56Ag==; path=/Set-Cookie: _uid=eff37cac39a...
请求头未携带cookie问题
weixin_48244940的博客
07-21 4789
请求头未携带cookie问题
Chrome 配置samesite=none方式
qq_26441149的博客
04-28 8834
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言二、解决方案1.方案一:修改浏览器配置2.方案二:使用Nginx3.方案三:若服务器为Tomcat,可使用以下方式(Tomcat8.5.x以上版本) 前言 Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。 我们遇到的问题是:从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失.
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 2161
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
Cookie Samesite简析
の博客
05-16 567
Cookie Samesite简析
lift-samesite-cookie-workaround
04-06
"lift-samesite-cookie-workaround"这个项目专注于解决在使用Scala编程语言时遇到的同站(SameSiteCookie问题。同站Cookie是浏览器为了防止跨站请求伪造(CSRF)攻击和增强用户隐私而引入的一种机制。然而,在某些...
Vue axios 跨域请求无法带上cookie的解决
10-14
在浏览器的安全策略中,跨域请求默认不携带cookie,这是为了防止跨站脚本攻击(Cross-Site Request Forgery, CSRF)。但如果我们确实需要在跨域请求中携带cookie,可以通过设置`withCredentials`属性来实现。 在Vue...
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将请求发送到基于Magento的网站...
django-cookies-samesite:该存储库包含一个中间件,该中间件会自动为Django的旧版本中的会话和csrf cookie设置SameSite属性
05-02
django-cookies-相同站点 该存储库包含一个中间件,该中间件会自动为Django的旧版本(例如1.11.x,2.2.x或3.0.x)中的会话和csrf cookie设置SameSite属性。 Django 3.1.x不需要此模块,它为会话和csrf cookie引入了...
理解前端Cookie中的SameSite属性
Keep trying, keep going
06-12 497
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
前端为什么发请求没有携带cookie
weixin_48975022的博客
08-02 4996
前端发送请求时,如果想要携带 cookie,通常只能携带存储在与请求域名相同路径的 cookie。这是由浏览器的同源策略所决定的。同源策略要求请求的域名、协议和端口都必须一致,否则浏览器会限制跨域请求的权限。当浏览器发送跨域请求时,默认情况下不会自动携带 cookie,只有在以下两种情况下才会携带:目标域名设置了允许携带 cookie 的响应头(Access-Control-Allow-Credentials),并且请求的 origin 域名也在目标域名的白名单中。
浏览器默认设置SameSite属性的作用
oi
01-30 7238
系列文章目录 文章目录系列文章目录一、CSRF 攻击是什么二、SameSite 属性 一、CSRF 攻击是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造 CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。 一个典型的CSRF攻击有
前端报错:"尝试通过Set-Cookie标头设置Cookie时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必需的"Secure"属性.
06-02
这是因为浏览器对 Cookie 的安全策略进行了升级,要求在设置 SameSite=None 属性时必须同时设置 Secure 属性。 在 Web 应用中,为了防止跨站点请求伪造攻击,通常会使用 CSRF Token 来进行验证。而为了确保 CSRF Token 能够正确地在跨站点请求中传递,需要将 Cookie 的 SameSite 属性设置为 None。 但是在 Chrome 80 版本之后,浏览器升级了 SameSite 策略,要求在设置 SameSite=None 属性时必须同时设置 Secure 属性。这是为了确保 Cookie 只能通过 HTTPS 进行传输,从而防止中间人攻击。 要解决这个问题,一种方法是将网站迁移到 HTTPS 协议上。另一种方法是在设置 SameSite=None 属性时,同时设置 Secure 属性。例如,在 Django 中,可以在设置 CSRF Token 的 Cookie 时,添加以下代码: ```python response.set_cookie('csrftoken', token, samesite='None', secure=True) ``` 这样就能够消除上述报错了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一岁就可帅-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值