Cookie-SameSite属性 前端请求不带cookie的问题解决方案

最新推荐文章于 2025-04-04 06:21:10 发布
最新推荐文章于 2025-04-04 06:21:10 发布
阅读量1.9k 收藏 11
点赞数 8
分类专栏: 经验分享 文章标签: 前端 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W9940/article/details/139721377
版权

最近遇到了前端请求后端不带cookie的问题,

请求时header里面就是没有cookie
查看响应应该是这个问题

在这里插入图片描述

SameSite是一个cookie属性,用于控制浏览器是否在跨站点请求中发送cookie。它有三个可能的值:

1. Strict(严格模式)

在严格模式下,浏览器将不会在跨站点请求中发送cookie。这意味着这些cookie将仅用于同站点请求。这是默认设置。

2. Lax(宽松模式)

在宽松模式下,浏览器将仅在跨站点POST请求(例如表单提交)中发送cookie。任何跨站点请求(包括GET请求)都不会发送cookie。这可以提供一定程度的保护,同时允许一些常见的用例。

3. None(无限制模式)

在无限制模式下,浏览器将在所有跨站点请求中发送cookie。这是因为cookie的SameSite属性默认为Strict,需要明确设置为None来允许跨站点请求发送cookie。

SameSite属性的目的是防止跨站点请求伪造(CSRF)攻击。通过限制哪些请求可以发送cookie,可以减少攻击者对用户身份验证的滥用。

需要注意的是,SameSite属性对于旧版本的浏览器可能不起作用,因此应该采取其他措施来防止CSRF攻击。此外,SameSite属性也不会提供完全的保护,只能作为一种额外的安全层。

设置SameSite

    // 设置Cookie的SameSite属性为None,并启用Secure标志
    Cookie cookie = new Cookie("JSESSIONID", request.getSession().getId());
    cookie.setPath("/");
    cookie.setHttpOnly(true); // 保持HttpOnly属性以增强安全性
    cookie.setSecure(true); // 必须在HTTPS环境下设置为true,因为SameSite=None要求安全上下文
    cookie.setSameSite(Cookie.SameSite.NONE.getValue()); // 设置SameSite为None,注意这需要Servlet 5.0+支持

但是无法使用Cookie中的方法 setSameSite
我正在使用的Java Servlet API版本不支持直接设置SameSite属性。Cookie.setSameSite()方法是在Servlet 5.0规范中引入的。如果你的项目依赖于早期版本的Servlet API,无法直接调用这个方法。

手动设置响应头来实现SameSite=None,同时确保设置Secure标志,因为大多数浏览器在SameSite=None时要求使用HTTPS。

在后端拦截器中加入下面代码显式配置响应头

String sessionID = request.getSession().getId();
response.setHeader("Set-Cookie", String.format("JSESSIONID=%s; Path=/; Secure; HttpOnly; SameSite=None", sessionID));

前端请求头成功携带cookie

web应用安全评估报告:会话Cookie未设置Secure属性(如果网站未部署 HTTPS,则无法使用 Secure 属性。)
专注于计算机研发知识和资讯分享
01-02 714
HTTP Cookie 用于管理用户会话、存储用户个性化首选项以及跟踪用户行为。使用浏览器的应用程序工具的“Cookie”窗格可以查看、编辑和删除网页的 HTTP Cookiecookie:服务器端保存在浏览器端的数据片段,以 key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的 cookie 数据。网站经常使用这个技术来识别用户是否登陆等功能。建议token机制的升级:基于httpsession进行存储,存在跨域问题,无法适用于小程序。
说说你对CookieSameSite属性的理解
王铁柱666的博客
12-08 521
综上所述,CookieSameSite属性前端开发中一个重要的安全工具,它可以帮助我们更好地保护用户数据和防止跨站请求伪造攻击。通过合理选择和使用SameSite属性同模式,我们可以在确保用户体验的同时提高应用程序的安全性。CookieSameSite属性前端开发中是一个重要的安全特性,它主要用于控制Cookie在跨站点请求中的发送行为,从而帮助防止跨站请求伪造(CSRF)攻击。
谷歌Chrome 80 中 Iframe 跨域 CookieSamesite 问题
weixin_39459811的博客
07-05 922
SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
CSRF防御进阶:SameSite Cookie与双重提交Token的深度解析
最新发布
MenzilBiz的博客
04-04 1111
SameSiteCookie的一个属性,它允许开发者声明该Cookie是否应限制在"同站"(Same Site)上下文中发送。这是浏览器层面提供的原生CSRF防护机制,由RFC 6265bis标准定义,能够有效防止跨站请求敏感Cookie。在日益复杂的Web安全环境中,CSRF防护需要多层次、纵深化的防御策略。SameSite Cookie属性提供了浏览器原生的基础防护,而双重提交Token则构建了应用层的坚固防线。及时更新技术栈,适配浏览器安全特性根据业务场景设计恰当的防护组合。
请求头未携cookie问题
weixin_48244940的博客
07-21 5165
请求头未携cookie问题
前端为什么发请求没有携cookie
weixin_48975022的博客
08-02 6724
前端发送请求时,如果想要携 cookie,通常只能携存储在与请求域名相同路径的 cookie。这是由浏览器的同源策略所决定的。同源策略要求请求的域名、协议和端口都必须一致,否则浏览器会限制跨域请求的权限。当浏览器发送跨域请求时,默认情况下会自动携 cookie,只有在以下两种情况下才会携:目标域名设置了允许携 cookie 的响应头(Access-Control-Allow-Credentials),并且请求的 origin 域名也在目标域名的白名单中。
cookie没有携问题
神zhi殇的博客
05-06 1858
背景:build-model应用在hcs迁移的时候,前、后端各自部署了一个新应用,但是调试时候发现没有cookie,导致鉴权失败!注: 后端通过cookie中的token做鉴权的,前端调用接口的时候,查看,发现没有cookie。以为是没有cookie的字段所以限制,没有cookie问题,或者后端有其他限制条件,导致cookie失败,跟后端沟通后,发现后端并没有限制cookie的鞋,所以跟后端没关系。
CookieSameSite 属性
laker的博客
02-08 1210
文章目录1 Strict2 Lax3 None CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格
CookieSameSite属性
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都会发送cookie;只有当前网页的 URL 与请求目标一致,才会Cookie。这个规则过于严格,可能造成非常好的用户体验。比如,
浏览器系列之 CookieSameSite 属性
2301_78659329的博客
11-06 1733
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie 的理解,所以很可能就此出个面试题,而即便是面试题,当问到 HTTP 相关内容的时候,妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。
超简洁Chrome插件 94版本Cookie SameSite 跨站解决方案
q291947864的博客
09-30 1242
超简洁一键开启Chrome>94版本cookie共享
腾讯三面:CookieSameSite了解吧,那SameParty呢?
frontend_nian的博客
04-16 1951
才弄清cookie的same-site,又出来一个same-party!
volley请求网络,cookiecookie等各种请求方式
07-19
volley请求网络,cookiecookie等各种请求方式
前端跨域解决方案总结
丑小鸭变黑天鹅的博客
02-20 4982
前端跨域解决方案总结一、什么是跨域?二、为什么会产生跨域三、常见的跨域场景四、9种跨域解决方案1、JSONP跨域1、概述2、实现流程3、jsonp简单实现1)、原生JS实现2)jquery Ajax实现:3)Vue axios实现:4)、后端node.js代码:2、跨域资源共享(CORS) 一、什么是跨域? 在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。 二、为什么会产生跨域 因为浏览器内部有一种约定叫做同源策略它是浏览器最核心也最基本的安全功能,如果缺少了同源
前台请求cookie问题解决方案大汇总
热门推荐
u013282737的博客
09-19 5万+
今天碰到一个很棘手的问题前端请求后端cookie请求时header里面就是没有cookie,可能还少了点其他东西 很头疼,尝试了很多办法,还是行,比如下面几种: 1:我是用的axios请求的,很多人只加下面这一行代码就搞定了,但是,我没有 // 允许携cookie axios.defaults.withCredentials=true 2:然后,有人加withCred...
请求cookie问题
weixin_30617797的博客
11-20 2109
因为后端需要用到cookie做一些判断,所以在post请求前先写入了cookie。在页面未登录时,调接口能cookie,登录后的请求没有携cookie,但是能看到cookie已经保存了。 (axios.defaults.withCredentials = true 配置了并没有用) 对比登录前后,发现是cookie路径的问题。如下: 登录之前的cookie一直保存在/下...
理解前端Cookie中的SameSite属性
Keep trying, keep going
06-12 1364
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 2171
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie中的
cookie属性SameSite简介
闲人
11-25 739
CSRF 攻击利用用户的身份和已认证的会话,在用户知情的情况下,向受信任的网站发送请求。例如,用户在网站 A 上登录并具有一个有效的 Cookie,攻击者在网站 B 上创建一个恶意链接或表单,诱使用户点击或提交该链接,进而向网站 A 发送请求。通过设置属性,网站 A 可以有效防止 CSRF 攻击,因为任何来自非同源的请求都无法携有效的身份 Cookie。这种机制确保了只有在用户直接与网站 A 交互时,相关的 Cookie 才会被发送,从而保护用户免受恶意网站的攻击。
尝试通过Set-Cookie标头设置Cookie的操作被禁止了,因为用户指定了偏好设置
03-25
<think>嗯,用户遇到了Set-Cookie标头设置Cookie被禁止的问题,需要解决。根据提供的引用内容,这个问题可能涉及SameSite和Secure属性的配置,或者跨域请求时的设置。首先,我得理清每个引用中的信息。 引用[1]提到当SameSite=None时缺少Secure属性。根据最新的浏览器策略,SameSite=None必须搭配Secure,也就是只能通过HTTPS使用。如果用户在用HTTP,这样设置会被阻止。解决方案可能需要启用HTTPS或者调整SameSite属性为Lax或Strict,避免使用None。 引用[2]指出Secure属性在HTTP下被拦截,因为Secure要求HTTPS。解决方法同样是改用HTTPS,或者移除Secure属性,但移除Secure可能安全,建议。 引用[3]的问题是跨域请求SameSite=Lax导致Cookie被阻止。跨域请求需要后端正确配置CORS,设置Access-Control-Allow-Origin和Access-Control-Allow-Credentials,同时前端请求credentials: 'include'。 用户的问题是“因用户偏好设置导致Set-Cookie无法设置”,这可能指浏览器设置或隐私选项阻止了Cookie。需要检查浏览器设置,确保允许第三方Cookie,或者调整SameSite和Secure属性以适应环境。 综合来看,可能的解决方案包括:启用HTTPS,调整SameSite和Secure属性,配置CORS,检查浏览器设置。需要根据用户的具体环境来推荐步骤,比如开发环境用HTTP的话,可能需要临时调整SameSite为Lax并移除Secure,但生产环境必须用HTTPS。</think>### 问题分析 当通过 `Set-Cookie` 标头设置 Cookie 被禁止时,通常涉及以下原因: 1. **`SameSite=None` 但缺少 `Secure` 属性**:根据浏览器安全策略,若设置 `SameSite=None`,则必须同时添加 `Secure` 属性(仅限 HTTPS 协议)[^1]。 2. **HTTP 协议下使用 `Secure` 属性**:`Secure` 属性要求必须通过 HTTPS 协议传输,否则 Cookie 会被拦截[^2]。 3. **跨域请求未正确配置**:跨域请求需满足 CORS 策略,且需显式允许凭据(如 `withCredentials`)[^3]。 --- ### 解决方案 根据具体场景选择以下步骤: #### 1. **启用 HTTPS 协议** - **适用场景**:生产环境或需要严格安全性的场景。 - **操作**: - 将网站协议从 HTTP 升级为 HTTPS。 - 确保证书有效且由可信机构颁发。 #### 2. **调整 Cookie 属性组合** - **场景**:开发环境使用 HTTP 或需兼容旧浏览器。 - **操作**: - 若使用 HTTP,移除 `Secure` 属性,并将 `SameSite` 设为 `Lax` 或 `Strict`: ```http Set-Cookie: session=abc123; SameSite=Lax ``` - 若需 `SameSite=None`,必须启用 HTTPS 并添加 `Secure`: ```http Set-Cookie: session=abc123; SameSite=None; Secure ``` #### 3. **跨域请求配置** - **场景**:前后端分离架构的跨域请求- **操作**: - **后端**:设置响应头允许跨域并携凭据: ```http Access-Control-Allow-Origin: https://your-frontend-domain.com Access-Control-Allow-Credentials: true ``` - **前端**:请求时显式声明凭据: ```javascript fetch(url, { credentials: 'include' }) ``` #### 4. **检查浏览器隐私设置** - **场景**:用户浏览器禁用第三方 Cookie 或严格隐私模式。 - **操作**: - 引导用户调整浏览器设置(路径示例): - Chrome:`设置 → 隐私和安全 → Cookie 及其他网站数据 → 允许所有 Cookie`。 - Safari:`偏好设置 → 隐私 → 阻止所有 Cookie`(需取消勾选)。 --- ### 验证方法 1. 使用浏览器开发者工具(F12),在 **Network** 标签页检查响应头中的 `Set-Cookie` 是否符合属性组合规则。 2. 通过控制台查看是否有 `Cookie blocked due to SameSite policy` 的警告。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一岁就可帅-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值