谷歌 samesite 问题以及如何解决使用session登录验证

最新推荐文章于 2024-11-06 17:22:07 发布
最新推荐文章于 2024-11-06 17:22:07 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: 工作问题 文章标签: 前端 java 开发语言 spring boot session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dcfok/article/details/123007701
版权

1.验证码及登录、session

(1) 问题

谷歌的samesite同站问题,并非是跨域的问题,在前后端分离下,前端与后端联调,每次都会发送的新的请求(get请求可以传),不能把上次的请求session带回来,其流程是:

获取验证码:浏览器发起请求,由于是在前端的项目发起,前端ip与请求接口的不是同源同站,相当于新的请求,不传session给后台,后台于是接收请求,也是判断为新的请求,把session返回给浏览器,浏览器set-cookie,这是第一次请求,后续每次请求都是新的set-cookie。

登录:前端在login时,也是发起新的请求,由于与验证码的session不一致,无法校验,如果一致就没问题,但是问题就在这里,由于浏览器不传回session,无法进行校验。

在这里插入图片描述

(2) 解决方案

1.后端对session用redis进行保存,访问验证码的时候返回一个随机字符串和验证码,同时也存到redis,随机字符串:验证码,再给个有效期,模拟session,login时把随机字符串放请求头,然后在redis里读取随机字符串,校验验证码,无论校验成功与否,去掉redis里的随机字符数据。

2.开发时,前端做个内置的反向代理,原理:浏览器访问反向代理,认为是同一台电脑,无同站问题,会发送session给代理,后端就接收到。

3.生产环境即部署时,我做的是放在同一台电脑上,可以用nginx做反向代理,不会产生问题,因为浏览器认为调用的地址与后端是同一个ip地址,简易的教程https://blog.csdn.net/qq_38247316/article/details/120908595,

4.部署到后端上,也可以规避这个问题,本质上还是发布到了后端的服务器上,所以不会出现这个问题。

5.升级成https,后端设置相应的请求头,可以用过滤器添加,我个人条件有限,未能实现效果。

6.获取验证码的时候,后端设置一个与前端约定好的请求头,后端可以用uuid填充,再放入一个map里,然后用该请求头代替session。

(3) 具体解释

Cookie 的 SameSite 属性 - 阮一峰的网络日志 (ruanyifeng.com)

(4) 我的环境

后端:spring boot+已配置跨域

前端: react

2.nginx如何规避samasite

(1) 配置

    server {
        listen       8850;
        server_name  192.168.aa.bb;
		charset         utf-8;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
location = /login.html {
            root   html;
        }
location ~* .(jpg|gif|png|js|css)$ {
    root html;
    if (-f $request_filename) {
        expires max;
        break;
    }
}
	location / { 
      proxy_pass http://127.0.0.1:9000;
      proxy_http_version 1.1;
      proxy_connect_timeout 10s;                
      proxy_read_timeout 60s;                  
      proxy_send_timeout 12s;                  
      proxy_set_header Upgrade $http_upgrade; 
      proxy_set_header Connection "Upgrade";   
      #proxy_set_header Host $host;
     }

(2) 注意点

server_name proxy_pass 可以不相同,且是前后端部署在同一个电脑上,前端打包好的放在nginx上,通过转发请求到后端。

如前端部署的地址:http://192.168.a.b:8850/login.html

前端访问后端的访问地址必须是:http://192.168.a.b:8850 开头的

(3) 原理

nginx部署项目后,浏览器认为前端部署的地址和请求的地址及端口是严格同站的,认为是同一个组织的,请求的时候,会带上cookie,不然会每次请求返回的都是新的session,此处是为了解决登录的问题。

nginx本身把收到的请求转发出去,去请求数据,然后返回。

(4) 实测

sid为后台我设置的sessionid,实际上去请求会携带这个session。

第一次是set-cookie,第二次以后才携带,且get是不受samesite影响的。

在这里插入图片描述

host:是指这请求要去的地址,下述去的9000,未携带cookie

origin:用来说明请求从哪里发起的,包括,且仅仅包括协议和域名。

referer:告知服务器请求的原始资源的URI,其用于所有类型的请求,并且包括:协议+域名+查询参数(注意,不包含锚点信息)。

因为原始的URI中的查询参数可能包含ID或密码等敏感信息,如果写入referer,则可能导致信息泄露,所以尽量不要用这种方式提交。
未携带cookie。
在这里插入图片描述

携带cookie
在这里插入图片描述

dcfok
关注
专栏目录
【Python爬虫系列】_015.Cookie和Session
weixin_50296259的博客
09-09 221
在服务器端,资源分为两类:免费资源和权限资源免费资源可以直接访问获取,权限资源需要登录或者付费之后才能获取那么,在获取权限资源的时候就涉及到权限验证问题。我们在发送请求的时候把登录信息一起发送过去就可以得到验证了但是,权限资源很多的情况下,难道每次请求都发送一次账号和密码吗?实际并不是这样的登录流程客户端在登录的时候,向服务端发送账号和密码请求服务端接收到账号和密码验证成功之后,会将当前账号生成一个唯一标识码存储在一个存储空间中。
谷歌浏览器】谷歌浏览器SameSite
Meditation_Crazy
04-12 896
前言 转载自:https://blog.csdn.net/opiqi/article/details/107955465
chrome 同站策略(samesite问题解决方案
热门推荐
左直拳的马桶_日用桶
01-08 3万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
SameSite Cookie导致的跨域请求session保持失效
闫玉林的博客
10-29 2469
引入原因 浏览器安全性 防止跨站攻击CSRF等 废除第三方cookie cookie简介 Cookie 是通过 web 浏览器从网站发送并存储在计算机上的文本字符串。 它们通常用于身份验证和个性化设置,例如,撤回有状态的信息、保留用户设置、录制浏览活动以及显示相关广告。 Cookie 始终链接到特定域,并且可以由各方安装。 Cookie 和 HTTP 请求 在引入 SameSite 限制之前,cookie 存储在浏览器中时,它们被附加到每个HTTP web 请求,并通过设置 Cookie HTTP 响应
谷歌浏览器 setCookie失败的原因分析(samesite
qwtt24的博客
08-04 7510
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性 大致在这里就概况下 1,SameSite谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面: Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 2,那么Sam
chrome session 变化_Chrome80版本带来的关于samesite的一些变化(2)
weixin_34094525的博客
12-29 292
Chrome80版本带来的关于samesite的一些变化(1)上一篇我们提到了如何判断SameSite request,这篇我们继续讲讲SameSite的其他知识以及应用场景。SameSite属性有哪些值SameSite = Strict, 也就是严格要求浏览器(user agent)来限制具有此属性的cookie只能在SameSite的请求发生的时候才会随请求一起发送。如果是CrossSite的...
浏览器系列之 Cookie 和 SameSite 属性
最新发布
2301_78659329的博客
11-06 928
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie 的理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。
JavaWeb】(血泪踩雷史...)Token登录前后端交互及跨域问题
wayne_lee_lwc的博客
04-14 2719
hello,我是卷卷毛,我又来啦, 咱们书接上回,上一节我们讨论了一种基于token验证方式的登录方案,文章在这里: 【JavaWeb】实现基于Token方式的用户登录 上节的内容,简单些说,就是介绍了一种实现用户登录的方式。 服务端在校验用户的账号密码信息无误后,为用户生成一串token作为口令返回给用户。之后,按照约定,用户在访问后端时将token添加在请求头中,发送给后端。后端根据头部中的token信息校验用户的登录状况。 那么这一节,承接上回,我们要解决这一登录方案的前后端交互问题,焦点在于to
安全角度浅谈cookie、session、token
Packet_Lee的博客
04-14 1044
前言: 为什么要研究cookie、session和token呢? 我当前已经学习完了sql注入和部分xss攻击,其中都遇到了使用和获取cookie,不把cookie理解了,就无法完全理解黑客获取它的原因。同时深刻理解了这三者之间的关系,对于预防也有很大的指导意义。
Selenium:实现设置cookie免登录(QQ邮箱为例)
R.zb的博客
10-18 4157
使用环境 Python:3.9.1 Selenium:4.0 Chrome:94.0.4606.61 Windows 10 操作步骤 获取账号cookie 手动打开页面登录后,再通过谷歌插件EditThisCookie来快速获取 EditThisCookie官网:https://www.editthiscookie.com/ EditThisCookie下载:https://download.csdn.net/download/qq_21238607/33237729 通过ad
如何使用chrome来设置和调试session、cookie、localstorage
Winfredzhang的博客
10-19 6352
1、打开chrome 2、按F12快捷键,打开调试界面 3、选中console的tab页 4、直接在">"后输入命令 localStorage.setItem('name','Bob') console.log(localStorage.getItem('name')) localStorage.removeitem('Bob') sessionStorage.setI...
http域名在浏览器set-cookie失败,导致cookie中获取不到内容解决方案
tpl9236 的博客
12-23 3422
由于开发一个表格系统时,前端使用的是Vue,后端使用的是 spring boot,在本地调试时用 localhost来访问,可以做到服务端和客户端使用cookie(HttpSession session) 通信,实现验证是否登录,但是在生产环境客户端(浏览器)在登录时无法set-cookie,导致cookie 信息没有保存在浏览器,其他接口无法做验证登录
PHP7语言基础——Cookie与Session
上善若水
03-21 1322
文章目录Cookie详解基本概念和设置Cookie的应用和存储机制删除CookieSession详解会话管理创建会话PHP中的session工作机制PHP中的Session存储机制注销和注销会话变量扩展——使用Redis存储Session HTTP协议是无状态协议,对于事物处理没有记忆能力。缺少状态意味着后续处理需要前面的信息,就必须重新传送数据,这样可能导致每次连接传送的数据量逐渐增大。为了弥补...
后端代码设置Samesite属性
Artisan_w
03-05 3217
Samesite属性设置 目的:防御CSRF Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
98.网络安全渗透测试—[常规漏洞挖掘与利用篇14]—[SESSION身份验证绕过漏洞与测试]
qwsn
02-05 6959
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、session身份验证绕过漏洞与测试 1、session机制 2、session的生命周期 3、出现漏洞的情景 4、session身份验证绕过示例: (1)源码:`session.php` (2)绕过:`抓包改包` (3)总结:
Cookie 的 SameSite 属性
日积月累的博客
11-22 6981
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3210
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5418
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
解决新版chrome浏览器SameSite属性cookie拦截问题
carry_chenxiaodong的博客
03-02 1万+
问题现象: 最近升级了新版chrome浏览器后,发现系统正常iframe嵌套其他域名网站页面突然无法显示了,页面空白,但是请求未报错。 原因还原: 1、将嵌套页面的url单独窗口访问,一切正常(页面显示正常,页面请求正常获取cookie信息),排除iframe页面问题。 2、进一步尝试,将这个带有链接的iframe放在一个全新的html文件中也不能正常访问,排除当前系统的iframe加载问题。 3、刚刚新建的html文件在火狐浏览器中打开可以正常访问。 4、新版chrome浏览器访问...
JSP管理员登录验证Session管理
总结来说,这段JSP代码演示了如何利用session来实现管理员的登录验证,以及在后续页面中检查管理员的身份。在实际应用中,为了安全起见,应使用加密的方式存储和比较密码,避免明文传输。同时,还需考虑防止session...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值