关于 chrome 80 后出现的 SameSite 的解决方案

最新推荐文章于 2024-04-12 01:50:51 发布
最新推荐文章于 2024-04-12 01:50:51 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: Java 文章标签: cookie chrome http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bai120552717/article/details/111193876
版权

Google 发布的 Chrome 80 中,在所有的 Cookie 中默认设置 SameSite=Lax 来屏蔽所有的第三方 Cookie,详见 Cookies default to SameSite=Lax;并拒绝所有的非 Secure 的Cookie 设为 SameSite=None,详见 Reject insecure SameSite=None cookies

关于 SameSite 属性的介绍,可参考阮一峰的《Cookie 的 SameSite 属性》

目前项目中已经出现了部分 chrome 80 浏览器下,无法访问原本通过 iframe 形式嵌入的页面,并在控制台报如下错误:

A cookie associated with a cross-site resource at http://ip/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

解决方案可参考:https://yq.aliyun.com/articles/743364

目前不是所有的 chrome 80 版本都会出现该问题,仅对部分用户生效,可以通过访问测试地址查看自己的 chrome 在跨站(cross-site)的情况下是否已经无法 set cookie。

注:测试地址中主要看 cookie 是 set 还是 not set ,不要被 ✘ 吓到,如果所有行都显示绿色✔,只是说明您的浏览器正在实施新行为,但这个不重要。

samesite 只识别是否跨站,即是否为相同 IP 。具体地讲,我们将“同一站点”定义为根域名(例如,geekbang.org)加上协议(例如,https:// 或者 http://)。

 

解决方案

方案一

Chrome 中打开 chrome://flags/#same-site-by-default-cookies 和 chrome://flags/#cookies-without-same-site-must-be-secure ,设置为 Disabled ,重启浏览器

方案二

降级到 Chrome 79 及以下版本,并关闭自动更新

方案三 (适用于 API)

  1. 将 API 切换为 HTTPS 协议(需要有 SSL 证书),并且检查响应头中的 Set-Cookie 中是否包含了 SameSite=None 和 Secure字样
  2. 如果没有 HTTPS 协议的 API, 请尝试 方案一 或 方案二

方案四

改造 http 服务,购买 SSL 证书,升级到 https 服务,并执行方案三

张子茏
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie warning
u011497228的博客
11-21 382
目录 文章目录问题解决 问题 chrome浏览器下面报以下警告: A cookie associated with a cross-site resource at was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site request...
关于 chrome 80出现的 SameSite 问题
baidu_33569474的博客
03-19 1万+
Google 发布的 Chrome 80 中,在所有的 Cookie 中默认设置 SameSite=Lax 来屏蔽所有的第三方 Cookie,详见 Cookies default to SameSite=Lax;并拒绝所有的非 Secure 的Cookie 设为 SameSite=None,详见 Reject insecure SameSite=None cookies 关于 SameSite 属...
十款入门级微信小程序源码分享之三
最新发布
2401_84046895的博客
04-12 422
分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》《Java高级架构知识》《算法知识》《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!38637)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
js在浏览器中对cookie进行增删改查
彭世瑜的博客
11-06 1万+
如果不添加过期时间,cookie 在浏览器关闭时删除 如果本地用浏览器打开页面会报错 A cookie associated with a cross-site resource at was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross...
使用IdentityServer出现过SameSite Cookie这个问题吗?
dotNET跨平台
04-30 371
原文作者:Sebastian Gingter原文链接:https://reurl.cc/Dygrgd译者:沙漠尽头的狼译文链接:https://reurl.cc/1ZYNoQ本文是作者2019年的一篇分享,里面的一些观点和使用的技术,对我们现在的开发依然有效,建议查看原文阅读,对本文翻译如有疑问,欢迎提PR[1]。首先,好消息:Google 将在 2020 年 2 月发布...
chrome-same-site
07-16
将指定网站上的 Cookie 恢复为旧版 SameSite 行为,下载之后将baidu.com改为自己需要设置的域名
chrome生僻字解决方案
12-28
Chrome生僻字解决方案主要涉及以下几个方面: 1. **字体替换**:Chrome浏览器依赖操作系统提供的字体库来显示文字。当遇到系统字体库中没有的生僻字时,可以考虑安装包含更多汉字的第三方字体,如“文泉驿微黑”、...
chrome调用ocx完美解决方案
07-19
chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案...
chrome不支持form.submit的解决方案
09-03
在描述中提到的解决方案中,开发者首先通过`navigator.userAgent`属性检测当前浏览器是否为Chrome。`navigator.userAgent`返回一个字符串,包含了浏览器的类型、版本以及其他相关信息。通过正则表达式检查,可以判断...
Chrome解决访问限制SameSite设置
weixin_48017822的博客
06-08 9665
Cookie——SameSite属性 SameSite属性:Chrome浏览器为了防止CSRF攻击和用户追踪,Cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险。即如调用第三方登录组件,会完全禁止第三方Cookie,跨站点时,任何情况下都不会发生Cookie。换言之,即当前网页的URL与请求目标一致,才会带上Cookie。 放开限制设置方法:https://support.siteimprove.com/hc/en-gb/articles/360007364778-Tu.
chrome浏览器92版本SameSite by default cookies被移除后的解决方案Chrome中跨域请求无法携带Cookie解决方案
树上骑个猴的博客
08-02 9822
低于91版本的Chrome浏览器: Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies,和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。 2. window,91版本及以上的Chrome浏览器:(方案1中的设置在91版本后已被Chorme移除) Windows:打开C
【vue】跨域警告“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
九琼的博客
04-01 6027
此Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自跨站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现跨站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
chrome浏览器跨域设置(版本号108之后的跨域设置)
baidu_25051161的博客
01-09 5403
新版浏览器跨域设置(版本号108之后的跨域设置)
CSRF(Cross-site request forgery 跨站请求伪造)
myfuturein的专栏
10-08 6986
CSRF(Cross-site request forgery 跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
[WEB]跨域问题CORS及跨域攻击CSRF
xujunxuan的博客
05-22 647
之前有遇到类似跨域问题,对此作小结。主要内容包括,跨域的基础知识和跨域攻击。 跨域 定义:跨域HTTP请求(Cross-site HTTP request),顾名思义指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。 同域 定义:如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源(域)。 跨域原因 域1 域2 不同端口 wh...
chromedriver headless 模式屏蔽日志
AI武暮晨love的博客
12-17 1388
headless无头浏览器模式下有很多日志信息,如下, 将日志等级设定为 3 即可 chrome_options.add_argument('log-level=3') #info(default) = 0 #warning = 1 #LOG_ERROR = 2 #LOG_FATAL = 3 DevTools listening on ws://127.0.0.1:55019/devt...
Cookie 的 SameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
如何让chrome可以 samesite by default cookies
04-20
可以通过在Chrome浏览器URL栏中输入chrome://flags/#same-site-by-default-cookies并启用SameSite by default cookies标志来实现。启用此功能后,Chrome浏览器将根据SameSite属性自动为所有cookie添加SameSite属性。这将使得第三方网站无法访问您的Cookie,有效提高了您的网络安全和隐私保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值