chrome浏览器iframe嵌套页面跨域无法获取cookie问题(SameSite 属性)

最新推荐文章于 2024-03-09 10:21:24 发布
最新推荐文章于 2024-03-09 10:21:24 发布
阅读量2.6w 收藏 56
点赞数 13
分类专栏: 前端踩坑 文章标签: cookie session web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carry_chenxiaodong/article/details/114278838
版权

问题现象:

     系统正常iframe嵌套其他域名网站页面,起初在chrome低版本浏览器和360浏览器、火狐浏览器上是可以正常显示嵌套页面(已后端模拟登录返回页面)并支持当前iframe页面获取cookie信息发送请求。

最近升级新版chrome浏览器后,iframe页面一直没法显示出来(空白页面),页面未报错,查看请求url头部信息Response Headers:

  1. Connection:keep-alive

  2. Content-Length:0

  3. Date:Tue, 02 Mar 2021 02:50:11 GMT

  4. Keep-Alive:timeout=20

  5. session-status:timeout

  6. Set-Cookie:JSESSIONID=12d38d20-247b-447e-adc4-1413055ea33d; Path=/; HttpOnly

原因还原:

1、将嵌套页面的url单独窗口访问,一切正常(页面显示正常,页面请求正常获取cookie信息),排除iframe页面问题。

2、进一步尝试,将这个带有链接的iframe放在一个全新的html文件中也不能正常访问,排除当前系统的iframe加载问题。

3、刚刚新建的html文件在火狐浏览器中打开可以正常访问。

4、新版chrome浏览器访问,iframe页面显示空白。(测试机chrome浏览器版本 88.0.4324.150(正式版本) (64 位))

初步结论:新版chrome浏览器做了限制,iframe页面无法第三方cookie,嵌套此页面的网站无法共享cookie给iframe页面导致。

深入分析:

使用其它浏览器(firefox, ie),session却是一致的。。
对比chrome和firefox请求头和响应头:


firefox:首次发起请求后,服务端返回sessionId后,之后每次请求中的cookie都会带上sessionId。

chrome:请求头始终未携带sessionId,甚至整个cookie都为空,导致服务器每次都接受不到sessionId,每次都会重新分       配 一 个 session。

 

问题分析:
Google 在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,

即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为 SameSite=None(https://www.chromestatus.com/feature/5633521622188032)

SameSite的作用就是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪,此举是为了从源头屏蔽 CSRF 漏洞。关于 SameSite 属性的介绍,《Cookie 的 SameSite 属性》。

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

  • Strict
  • Lax
  • None

 Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。


Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。


Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

设置了StrictLax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

 None

Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。


Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效。


Set-Cookie: widget_session=abc123; SameSite=None; Secure

 

上述问题中,在当前系统访问第三方系统时,带了一些cookie过去,然后被这个SameSite机制拦截掉了。

可能在 Chrome 80 中受到影响的场景如下
1、组件数据基于第三方网站的登录态返回相关用户数据的API请求
2、HTTP 本地部署


解决方案
Chrome浏览器打开新标签页,地址栏中分别输入
chrome://flags/#same-site-by-default-cookies
chrome://flags/#cookies-without-same-site-must-be-secure


然后如上如图所示将这两个配置均设置为Disabled(此策略不推荐,可用于应急系统访问)

开发建议:

1.禁用浏览器samsite属性/或降低版本(目前仅chorme存在)
2.保证同源策略cookie共享(保证ip或域名一直)
3.设置response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”),需设置https证书
4.不使用cookie共享会话,使用token实现
 

carry_chenxiaodong
关注
  • 13
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于Iframe如何跨域访问CookieSession的解决方法
10-27
本篇文章小编将为大家介绍,关于Iframe如何跨域访问CookieSession的解决方法,有需要的朋友可以参考一下
解决iframe跨域读写Cookies的问题,(ASP、ASP.NET、PHP、JSP)解决方案
weixin_34332905的博客
04-25 239
A站iframe引用其它站(B站)的内容时,B站的页面获取不到B站种下的Cookies。如果页面是来自框架的,而框架的父页和框架不是一个站点的话,客户端默认是禁止向页面附加头信息的,这样服务器端就无法识别客户端框架里面的页面,自然不能操作Session。 解决方案:一种是:直接改IIS设置 在IIS设置中,header头中加对值: P3PCP="CAO PSA OUR" 第二种是:直接在...
解决跨域获取Cookie,跨域调用API的问题
最新发布
johnsen7918的专栏
03-09 411
前言:前端的系统一般不支持跨域,需要我们部署的时候配置下反向代理。这边介绍下iis反向代理,iis反向代理是通过iis的URL重写模块来重写URL从而访问目标服务器的。假设我们的前端服务器是A,后端API服务器是B,我们访问A的时候,也要能访问B,就需要在A上配置反向代理,重写URL指向B对应的URL。反向代理的url重写原理:将初始的URL不需要替换的部分,用正则表达式匹配出来,将需要替换的地方,输入新的值,拼成新的URL。
页面嵌入iframe Cookie丢失问题解决
花开的博客
01-17 1010
自身页面iframe的形式嵌入三方页面中,双方域名不一致导致自身页面cookie被某些浏览器拦截无法正常被保存到客户端。
iframe嵌套第三方页面跨域cookie问题
热门推荐
zhengaog的博客
04-09 1万+
问题描述: 192.168.40.26服务器上有一个项目,某个页面嵌入了第三方系统平台, 第三方系统平台服务器地址是:192.168.40.67 页面嵌入成功,只能访问到登录页,登陆成功但是页面不进行跳转。 如果单独登录第三方平台,如下图: 嵌入第三方后页面 ,如下图: 提示正常登陆成功,却没有跳转页面页面晃动一下,但还是停留在登陆页面上。 判断是因为跨域问题,嵌入页面时使用192.168.40.26IP地址访问第三方192.168.40.67登录接口时登陆成功,但是前端页面也在这个192.168.
iframe 跨域传递 cookie
陈荣亮的博客
12-01 1万+
最近在处理 iframe 跨域通讯(也就是PostMessage的应用,有兴趣可以看一下我的文章),发现了个比较头疼的问题:在 iframe 环境中,无法跨域读取内嵌网页的 cookie ,得到的结果都是空值。 本来原计划构思,iframe 通过 PostMessage 实现跨域数据共享,但这个问题的出现让我蛋碎不已…(´༎ຶД༎ຶ`) 如果不解决,前面的努力就等于全白搭了。 于是乎我便开始了各种查文档和解决方案。据文档说明: Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite
iframe嵌套页面,由于同源策略导致cookie无法获取,导致会话session失效问题得解决方案
阳光
04-21 6083
iframe嵌套页面,由于同源策略导致cookie无法获取,导致会话session失效问题得解决方案
跨域 iframe 内嵌页面 JavaScript 写 cookie 失败解决方法
jayccx的专栏
05-24 7145
iframe 跨域的场景下,无论是服务器,还是内嵌的页面,如果要写入 Cookie,都需要增加Secure;转载请注明出处。本文地址:跨域 iframe 内嵌页面 JavaScript 写 cookie 失败解决方法 - 前端路迹。
iframe跨域访问出现的cookie问题,提供两种解决方案
I_No_dream的博客
07-20 6739
最近在java项目对接时出现的一个问题。A系统嵌入B系统页面时,使用iframe去嵌入B系统页面丢失sessionid,导致B系统认为是未进行登录的请求,从而跳转到了B系统登录页。 解决方法查看此博客:https://www.cnblogs.com/suizhikuo/p/3384972.html 总结原因是因为这种嵌入方法触发了P3P,也就是个人隐私安全平台项目(The Platform forPrivacy Preferences Project)的一个标准,为了保护用户隐私,从而导致A系统嵌入B系统,
解决chrom浏览器iframe嵌套cookie问题
火焰云的博客
01-19 6224
chrom浏览器环境下当前网站被第三方iframe嵌套,如何保证cookie值成功写入 1、保证请求的url必须是https协议。 2、response头部设置 response.setHeader(“Set-Cookie”,ut+“Path=*; SameSite=None; Secure”);
iframe跨域传递信息
LinHuiT的博客
06-07 2210
一般前后端都需要进行设置。具体是在设置Cookie时,设置SameSite属性。有如下三种:1、Strict:严格模式,禁止第三方Cookie。跨站点时,不会携带任何Cookie。2、Lax:正常模式,链接(a标签)、预加载(link)、GET表单(form)等情况下跨站点会携带Cookie。其它大部分跨站点的情况下也是不会携带Cookie。3、None:不限制,任何情况都会携带Cookie。不过同时需要Secure属性Cookie 只能通过 HTTPS 协议发送),否则无效。
iframe跨域session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
chrome 浏览器跨域插件下载
04-07
链接:https://pan.baidu.com/s/1-mjkHmiuVLJzmqhnIyBHag 提取码:w9vu
基于iframe实现ajax跨域请求 获取网页中ajax数据
01-19
同时,内嵌的iframe无法进行跨域通信的,也就是说不同域的iframe无法互相读取数据的(当然利用hash变化可以从父window传入数据到子iframe,不过并没有什么意义)。iframe跨域通信时,浏览器会报如下错误: 其实这...
在vue中实现嵌套页面(iframe)
11-19
vue中嵌套iframe,将要嵌套的文件放在static下面。... <iframe src=”../../static/plusPro.html...补充知识:关于VUE嵌套iframe的一系列问题 此文是建立在vue-cli之上 ,当然单写也可以,下文会涉及一些关于cli的知识,
iframe跨域常用问题iframe页面自适应
08-20
这是关于iframe使用过程中出现的问题整理的解决方法,关于使用iframe不用单独写接口打通数据,直接把数据通过ifarme嵌套方法传递过去,使用简单方便。
跨域修改iframe页面内容详解
12-13
主站点内嵌代理页面, 并向代理页传递数据, 代理页根据主站点的数据对目标页的DOM进行操作.由于代理页与目标页同域, 所以代理页可以获取并操作目标页的document对象. 前提条件 需要将proxy.html放到与内嵌的iframe页...
iframe设置代理解决ajax跨域请求问题
01-19
今天在项目中需要做远程数据加载并渲染页面,直到开发阶段才意识到ajax跨域请求的问题。于是想用代理的方式来解决这个跨域问题。 什么是跨域?简单的来说,出于安全方面的考虑,页面中的JavaScript无法访问其他...
chrome浏览器108版本以上跨域问题
09-17
Chrome浏览器从版本108开始,对于跨域问题做出了一些改变。在此之前,浏览器是严格限制跨域请求的,但是自从Chrome 108版本之后,浏览器默认支持通过一些新的方法来解决跨域问题。 首先,Chrome 108引入了新的CORS(跨域资源共享)规范,它通过在服务器的响应头中添加一些额外的字段来指示浏览器是否允许跨域请求。如果服务器返回的响应中包含了'Access-Control-Allow-Origin'字段且值为请求的域名,则浏览器将允许该跨域请求。这样,网页开发者可以通过在服务器端设置正确的响应头来解决跨域问题。 其次,Chrome 108还引入了一种新的跨域请求方式,即Fetch API。Fetch API是一种用于代替传统的XMLHttpRequest对象的新的网络请求API,它默认支持跨域请求,并且提供了一系列的方法和选项来处理跨域问题。通过使用Fetch API,网页开发者可以更灵活地发送和处理跨域请求。 此外,Chrome 108还提供了一些其他的跨域解决方案。例如,开发者可以在服务器端设置CORS策略,通过细粒度的配置来控制哪些域名可以进行跨域请求。另外,Chrome 108也支持通过在请求中添加'Access-Control-Allow-Credentials'字段来允许跨域请求携带认证信息。 综上所述,Chrome浏览器108版本以上对跨域问题做出了一些改进和优化。通过使用CORS规范、Fetch API以及其他解决方案,网页开发者可以更轻松地处理跨域请求,并提供更好的用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值