腾讯三面:Cookie的SameSite了解吧,那SameParty呢?

最新推荐文章于 2024-04-24 16:12:44 发布
最新推荐文章于 2024-04-24 16:12:44 发布
阅读量1.8k 收藏 4
点赞数 1
文章标签: 前端 面试 chrome
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frontend_nian/article/details/124221944
版权

大家好,我是年年!

今天介绍的是三方cookie相关的内容,本文会讲清:

  1. 什么是三方cookie?
  2. same-site的变化是什么,对我们的业务有什么影响?
  3. 为什么有了same-site,还需要same-party?

文章首发在我的公众号:前端私教年年

什么是三方cookie

三方指的是非同站,这个同站和同源协议中的源origin不同,它的要求更宽松。

同源协议中的源是由「协议+域名+端口」三者一起定义的,有一个不同就不算同源,而同站只受域名的约束,并且还不要求一模一样——只要「有效顶级域名+二级域名」相同,都算同站。

有效顶级域名是由Mozilla维护的一份表格,其中包括.com.co.uk.github.io等。所以ai.taobao.com和www.taobao.com是同站的,因为它们的顶级域名(.com)+二级域名(.taobao)相同。

现在知道了什么是站,就可以很简单区分了:

打开开发者工具的application,domain一列中显示和当前域名不同的就是三方cookie

如何携带三方cookie

cookie的携带是浏览器自动的操作,规则是「不认来源,只看目的」,下面会讲清这句话的意思。

cookie下发

首先,需要先了解cookie的下发,服务端会将其下发到浏览器,方法是通过响应头中的set-cookie字段

里面还包括一些配置属性,关键的是其中的domain

domain

指定cookie未来使用时,可以被携带到哪些域名。其值可以设置为当前服务端的父级域名或其本身,比如ai.taobao.com设置的cookie的domain可以为.taobao.com,所设置值的所有子域名都可以使用,比如www.taobao.com

如果不设置,会默认为当前域名ai.taobao.com,并且只有自己可以使用,子域名sub.ai.taobao.com都不能使用,适用范围就小了很多,所以一般都会设置。

但是不能设置为跨站点的.baidu.com,也

最低0.47元/天 解锁文章
前端私教年年
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SameSite cookie 理解与设置
隔壁老瓦的专栏
08-15 1563
此功能仅在(HTTPS)、部分或所有中可用。HTTP 响应标头的SameSite属性允许您声明您的 cookie 是否应限制为或同一站点上下文。与 CookieSameSiteSameSite如果未指定cookie 发送行为是. 以前的默认设置是为所有请求发送 cookie。带有必须的 Cookie现在还指定Secure属性(它们需要安全上下文/HTTPS)。如果使用不同的方案 (或)发送来自同一域的 Cookie,则不再将其视为来自同一站点。本文记录了新标准。...
Cookie 的 SameSite 属性
一劍傾城
07-29 1091
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换...
【JavaScript】cookie
最新发布
小秀的博客
04-24 597
cookie不可跨域cookie存储在浏览器里面cookie有数量与大小的限制1、数量在50个左右2、大小在4kb 左右cookie的存储时间非常灵活cookie不光可以服务器设置,客户端也可以设置客户端 document.cookie 可以获取和写入,且只能设置一次(在 http 协议下才可以生效)。set-cookie 服务器设置。参数 name: cookie 的名字(唯一性);value: cookie 的值;domain: cookie 在哪个域名下是有效的;
Cookie - SameSite
Moon Star
07-27 257
Domain / Path 作用域 Domain是限制域名,设置为www.lilnong.top的话,cors.lilnong.top就获取不到了。Path是限制路径,如果设置为/cors的话,/api下的请求就不会携带该cookie。 Expires / Max-Age 有效性 Expires是当前Cookie的过期时间,默认是会话级别。 Max-Age是当前Cookie经过多少秒失效。 大于 0 是计算经过多少秒失效 等于 0 是会话级别,关闭浏览器就失效 小...
详解 Cookie 新增的 SameParty 属性
前端劝退师
08-31 1555
各大主流浏览器正在逐步禁用三方Cookie,之前笔者也在下面这篇文章中分析了全面禁用三方Cookie后对我们的网站带来的一些影响:当浏览器全面禁用三方 Cookie但是一个公司或组...
Cookie Samesite简析
の博客
05-16 238
Cookie Samesite简析
创业如何回答:如果腾讯做了,你怎么办?
01-30
因为如果他的想法仅仅是基于别人体验的漏洞,那么不论他使用什么策略,腾讯都可以比他更低成本地跟进它的策略。所以,在创业中,我们最害怕被提问的问题就是:如果腾讯做了这个,你会怎么办?如果XX做了,你会怎么办...
腾讯三面以及参考思路
01-12
腾讯三面问题预览: 1.OC你了解的锁有哪些?在你回答基础上进行二次提问; 追问一:自旋和互斥对比? 追问二:用C/OC/C++,任选其一,实现自旋或互斥?又述即可! 2.内存泄漏可能会出现的几种原因,聊聊你的看法? 追问一:非...
腾讯产品总监曹菲:为何我工作10年,内心仍无比恐慌?
02-25
恩,大概占到三分之一人数,80后举手?剩下都是80后,好开心,我和大多数人是一样的。另外,这个话题对于大多数的你们,绝对有意义。我从业到现在已经十年多了,这个问题是我从业五到七八年时最苦恼的话题。当时觉得...
Cookies的SameSite属性
weixsun的博客
04-19 2111
Chrome 51版本开始,浏览器的 Cookies 新增了一个SameSite属性,用来防止 CSRF 攻击和信息泄漏,更多信息参考chrome Feature: 'SameSite' cookie attribute。 简单回顾什么是CSRF攻击 Cookies往往用来存储用户的身份信息,恶意网站通过设法伪造带有正确Cookies进行 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Coo
transform居中,二维码,事件委托,数组去重,webpack,domain、samesite和viewport
eswang的CSDN博客
03-22 298
transform比top更适合进行居中 今天看到一个回答说transform比top更适合居中操作的原理,主要有三个部分,一是transform可以生成新的合成层,合成层上有GPU加速,二是它的使用不会引起回流,三是top的动画处理是是以px为单位,但是transform的处理更加平滑,因为它的基本单位更小。 首先对于第二点,因为transform会生成新的渲染层,并使用一种合成渲染的方式,讲渲...
Cookie中SameSite的问题与解决办法
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全性
解决跨域下Cookie的SameSite问题(使用Nginx)
热门推荐
tmyth的专栏
02-16 3万+
#简介 Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
Springboot应用中设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 9931
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3088
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
记一次浏览器SameSite策略更新,导致接口 Failed to load response data 的解决过程
liyoro的专栏
01-22 4742
浏览器SameSite策略更新,会导致前端不发送Cookie,造成接口不返回数据,也就是Failed to load response data问题
腾讯三支柱看集团企业人力资源(HR)数字化转型规划.pptx
12-02
腾讯为例,其“三支柱”架构——即人事管理、人力资源管理和人力资本管理,体现了这一转变的过程。首先,传统人事管理阶段主要关注基础信息管理和流程标准化,而人力资源管理阶段则注重流程优化和标准化工具(如e-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值