一个大坑,谷歌浏览器升级到80版本之后,iframe读不到cookie
因为甲方的需求,需要实现一个免登陆的页面,没有权限管控,但是又不想让看见这个链接的真实地址,所以需要在隐藏链接地址的情况下进行模拟登陆。
之前运行正常,直到最近开始频繁的报错,查找之后发现问题在chrome浏览器今年2月份将SameSite的默认值改为了LAX,所以iframe中无法正确获取cookie。定位了问题之后就开始了爬坑,跟大家分享一下我掉进的坑。
1.addFlashAttribute
最开始打算既然这样获取不到,那就从后台redirect过去,把参数隐藏掉,结果iframe中引用的系统框架太老,无法获取到addFlashAttribute中传的参数。
RedirectAttributes.addFlashAttribute("","");
2.ajax
然后就打算用ajax去读取这个网页的html,然后将整个html在页面重新展现,之后发现这样做也不行,css和js样式会读不到,只适用于简单页面。
3.layer弹出层
之后打算用layer来实现这个功能,结果发现layer实际上也是使用的iframe,无法满足要求。
4.url重写
又考虑了下url重写,无奈iframe中框架太老,改造起来成本较高,放弃。
5.SameSite=None
发现各种取巧都无法走通,只能去正面硬刚这个问题了,结果又碰到了个坑,打算通过nginx配置proxy_cookie_path 属性来解决
proxy_cookie_path / "/; secure; SameSite=None;";
修改了SameSite,但浏览器提示
// This Set-Cookie was blocked because it had the”SameSite=None" attribute but did not have the "Secure" attribute, which is required in order to use "SameSite=None'.
加上了secure属性之后……
This Set-Cookie was blocked because it had the "Secure" attribute but was not received over a secure connection.
因为http不支持secure属性,所以需要升级到https,又开始寻求其他方法
6.同一域下
最后发现了一种取巧的版本,既然chrome浏览器iframe无法获取cookie是针对的跨域问题,那么放到同一个域下不就好了吗?于是通过nginx将xxx.xxx.xxx.1:8080代理成了xxx.xxx.xxx.2:8082/aaa,问题解决……