SameSite Cookie问题处理解决方案(谷歌Chome浏览器出现Whitelabel Error Page或者不停请求现象解决)

最新推荐文章于 2024-05-22 10:34:39 发布
最新推荐文章于 2024-05-22 10:34:39 发布
阅读量1.1w 收藏 2
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyjs1988/article/details/107832967
版权

谷歌Chrome浏览器出现Whitelabel Error Page或者不停请求现象的解决:

在浏览器地址栏中输入chrome://flags/ 并打开,将如下选项禁用:
SameSite by default cookies
Enable removing SameSite=None cookies
Cookies without SameSite must be secure
设置为Disabled 重启浏览器即可

 

哪些人需要关注:

  1. 网关开发者
  2. SSO开发者
  3. 前后端分离开发者
  4. 所有接口提供方

问题描述:


Chrome浏览器会于2020年2月17日逐步将SameSite-by-default和SameSite=None-requires-Secure行为配置应用至最新稳定版本的Chrome80, 此次Chrome版本更新的摘要如下:

  1. Chrome将Cookie的SameSite属性默认值设为Lax

  2. Chrome将拒绝非https的SameSite=None的Cookie, 即Set-Cookie: Key=Value 。 补充: 测试环境HTTPS可提交OA流程申请(IT资源申请单B3, 注明要求增加HTTPS访问)

已知的受影响范围:

  1. 如星河iframe引用的子系统需要重新登录

  2. w3.zto.com, 将会出现重定向死循环(Set-Cookie失败)

应对措施:

  1. 接口提供方确认, 若无需被跨域调用, 则应将Cookie的SameSite属性设置为Lax, 并可忽略下列2、3条方案

  2. 接口如需被跨域调用, 且接口会Response Set-Cookie, 则需对cookie进行”SameSite=None; Secure”设置(需在2020年2月17日前完成适配),  此调整有以下注意点:

    1. 防CSRF措施: 表单提交的重要功能需增加Referer做白名单或设置csrf token。

    2. 由于部分小众客户端尚不支持SameSite=None属性, 接口因根据User-Agent判断是否要设置SameSite=None属性, 简化规则: 判断Chrome80以上, 完整规则: https://www.chromium.org/updates/same-site/incompatible-clients , 

    3. [推荐]如接口既需要被第一方又需要被第三方调用, 则接口应判断调用域是否为同域, 若为同域, 则应设SameSite为Lax, 否则进行”SameSite=None; Secure”设置

  3. 接口提供方做调整(Secure)后, 测试环境若受影响, 可提交工单申请测试环境https域名
  4. 如果用户在登录完成之后才升级了chrome80, 并且登录会话依然在有效期内, 会造成: 同域请求登录正常, 跨域请求无法携带cookie的情况.
    预计的处理方式是: cookie中额外写入下发cookie时的chrome版本, 如果cookie中写入的版本与当前请求的版本不符, 就重新依照配置规则写入新的cookie

 

如何验证:

  1. 升级Chrome浏览器至80稳定版, 打开 chrome://flags/ 页面, 将 #same-site-by-default-cookies 和 #cookies-without-same-site-must-be-secure 设置为enable

  2. 打开您所管理的站点, 打开Network, 如下图视图, 如勾选"Only show requests with SameSite issues"后, 有请求出现在列表里, 则意味着存在此问题:

 

 

 

参考资料:


https://mp.weixin.qq.com/s/4WMf-n0dY5bW1wQbWW3T5A
https://web.dev/samesite-cookies-explained/
https://www.chromestatus.com/feature/5633521622188032
https://www.chromestatus.com/feature/5088147346030592

https://www.chromium.org/updates/same-site

猎摘互联网软件测试业界技术文章专用博客
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
想成为全栈工程师,需要具备哪些软技能?
禅与计算机程序设计艺术
07-31 1723
作为一个全栈工程师,即使只是单纯做一些开发工作,也要从一些软技能入手来提升自己的能力,让自己能够在项目中有更好的表现。掌握一些硬技能对于你的职业生涯来说是至关重要的。而一些软技能则可以帮助你在面对新事物时,快速地学会相应的技能,提高个人能力。例如,如果你知道如何与团队成员沟通、组织项目、推动工作流程等技能,那你可以更容易理解别人的需求并进行有效沟通。如果觉得自己擅长某项技能,但却无法解释为什么这么做,或者缺乏相关的训练,那么可以考虑去学习相关技能的培训课程。
【安全牛学习笔记】存储型XSS和BEEF浏览器攻击框架
edu_aqniu的博客
09-30 4875
存储型XSS                                                               长期存储于服务器端                                            每次用于访问都会被执行javascript脚本                    Name:客户端表单长度限制           
chrome浏览器91版本SameSite by default cookies被移除后的解决方案 后端的set-cookie没有效果
qq_576165539的博客
03-21 2001
Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies,和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。window,91版本及以上的Chrome浏览器:(方案1中的设置在91版本后已被Chorme移除)Windows:打开Chrome快捷方式的属性,在 目标 后添加。
Whitelabel Error Page错误及其解决方法
最新发布
weixin_44889152的博客
05-22 322
在Controller类上添加注解@RestController。
Puppeteer开发过程中遇到的问题解决方案
m0_54849806的博客
02-21 7157
工欲善其事必先利其器,请先检查本机是否安装NodeJS环境以及查阅API: Google官方文档:https://developers.google.com/web/tools/puppeteer API(v12.0.1)文档:https://pptr.dev/#?product=Puppeteer&version=v12.0.1&show=outline 问题:如何处理各种验证码? 解决方案:建议大家去搜索对应的解决方案,Puppeteer并无此类解决方案问题:某些网站做了JS防爬检测
浅谈Google Chrome浏览器(操作篇)(上)
Alan_beijing
07-15 658
开篇概述 在上篇博客中详解Google Chrome浏览器(理论篇)一文中,主要讲解了Chrome 搜索引擎使用、Chrome安装和基本操作、Chrome 基本架构、多线程等原理性问题,这篇将重点讲解Chro-me实操问题,主要结合“Chrome 主调试面板“,对Chrome,Elements,Con-sole,Sources,NetWork,TimeLine,Profiles,Applicat...
详解Google Chrome浏览器(操作篇)(上)
weixin_34199405的博客
05-15 1333
开篇概述 在上篇博客中详解Google Chrome浏览器(理论篇)一文中,主要讲解了Chrome 搜索引擎使用、Chrome安装和基本操作、Chrome 基本架构、多线程等原理性问题,这篇将重点讲解Chro-me实操问题,主要结合“Chrome 主调试面板“,对Chrome,Elements,Con-sole,Sources,NetWork,TimeLine,Profiles,Applicati...
【ASP.NET MVC系列】浅谈Google Chrome浏览器(操作篇)(上)
weixin_34352449的博客
02-12 337
ASP.NET MVC系列文章 【01】浅谈Google Chrome浏览器(理论篇) 【02】浅谈Google Chrome浏览器(操作篇)(上) 【03】浅谈Google Chrome浏览器(操作篇)(下) 【04】浅谈ASP.NET框架    【05】浅谈ASP.NET MVC运行过程     【06】浅谈ASP.NET MVC 控制器    【07】浅谈ASP.NET M...
概述和HTTP请求与响应处理
热门推荐
weixin_30375427的博客
12-08 6万+
1、概述   爬虫,应该称为网络爬虫,也叫网页蜘蛛人,网络蚂蚁等   搜索引擎,就是网络爬虫的应用者 2、爬虫分类   通用爬虫:     常见就是搜索引擎,无差别的收集数据,存储,提交关键字,构建索引库,给用户提供搜索接口     爬取一般流程:       1、初始一批URL,将这些URL放到待爬的队列       2、从队列取出这些URL,通过DNS 解析IP ,对...
【护眼阅读】PC端通过主流常用浏览器打开本地WEB页面阅读本地TXT小说
starfire_hit的博客
08-27 1968
PC端都护眼的阅读工具(轻量级),本地WEB实现
C#提取Chrome浏览器Cookie值源码
10-16
在实际应用中,这段`C#`源码可以用于自动化测试、数据分析或者爬虫程序,帮助我们更方便地处理基于Cookie的会话管理。但是,需要注意的是,直接访问和使用他人的Cookie可能存在隐私风险和法律问题,所以在实际操作时...
如何解决ajax在google chrome浏览器上失效
10-23
困扰了我很长时间,我写的ajax代码在ie、360、火狐浏览器上运行都是正常的,而在google chrome下无法正常运行,搞的我焦头烂额,最终找到解决办法,在此分享给大家,帮助那些遇到和我一样问题的朋友
python3实现读取chrome浏览器cookie
09-21
里给大家分享的是python3读取chrome浏览器cookie(CryptUnprotectData解密)的代码,主要思路是读取到的cookies被封装成字典,可以直接给requests使用。
Cookie跨域问题解决方案代码示例
01-21
比如说门户和应用,分别部署在不同的机器或者web容器中,假如用户登陆之后会在浏览器客户端写入cookie(记录着用户上下文信息),应用想要获取门户下的cookie,这就产生了cookie跨域的问题。  二、介绍一下cookiev...
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在...
研发团队中最合适的开发测试比是多少?
猎摘互联网软件测试业界技术文章专用博客
04-28 1万+
 早在2010年,淘宝网和阿里巴巴B2B联合主办、InfoQ独家社区支持的第二届互联网测试交流大会上,来自Google、Baidu、网易、腾讯、淘宝、阿里巴巴、FreeWheel等公司的测试经理分别分享了他们在测试领域的心得体会,原计划500人的会场到会了800人。在讲师交流环节,大家对“研发团队中最合适的开发测试比是多少”话题做了讨论。(编辑注:方便起见,本文对各测试经理均使用花名,请勿对号入座!) 郭靖是某大型网上商城测试团队的负责人,自2003年加入公司后就组建了该网站的测试团队,推动团队进行性.
微信TBS在线安装内核失败的解决方法
猎摘互联网软件测试业界技术文章专用博客
03-13 9785
1手机用usb连接至电脑 2.手机微信内点击http://debugxweb.qq.com/?inspector=true(只要跳转过微信首页就是开启了调试) 3.微信内打开所需调试网址 4.chrome浏览器打开 chrome://inspect/#devices 会看到com.tencent.mm下是我们打开的网址 5.在点击chrome里的inspect 直接调试 参考资料:微信Android 7.0.22 在线安装TBS内核失败? | 微信开放社区 ...
自动刷抖音刷宝脚本
猎摘互联网软件测试业界技术文章专用博客
07-27 9378
刷抖音: from com.android.monkeyrunner import MonkeyRunner, MonkeyDevice device = MonkeyRunner.waitForConnection()#获取连接的设备 device.wake()#唤醒屏幕 MonkeyRunner.sleep(1) device.drag((400,500),(400,100),0.1,10)#上划解锁 MonkeyRunner.sleep(1) device.startActivity(compo
通过JAVA代码org.apache.shiro.web.servlet.Cookie解决浏览器set-cookie属性SameSite设置STRICT
07-14
在Apache Shiro中,您可以使用`org.apache.shiro.web.servlet.SimpleCookie`类来创建和设置Cookie对象,并将SameSite属性设置为STRICT。以下是一个示例代码: ```java import org.apache.shiro.web.servlet....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值