关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决

最新推荐文章于 2023-09-02 20:37:36 发布
最新推荐文章于 2023-09-02 20:37:36 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: Web技术
原文链接:https://blog.csdn.net/wanghongbiao1993/article/details/104795084/
版权

什么是SameSite

SameSiteCookie中的一个属性,它用来标明这个 cookie 是个“同站 cookie”,“同站 cookie” 只能作为第一方cookie,不能作为第三方cookie,因此可以限制第三方Cookie,解决CSRF的问题。不知道CSRF的看着这个。早在Chrome 51中就引入了这一属性,但是不会默认设置,所以相安无事。

第三方Cookie:由当前a.com页面发起的请求的 URL 不一定也是 a.com 上的,可能有 b.com 的,也可能有 c.com 的。我们把发送给 a.com上的请求叫做第一方请求(first-party request),发送给 b.com 和 c.com 等的请求叫做第三方请求(third-party request),第三方请求和第一方请求一样,都会带上各自域名下的 cookie,所以就有了第一方cookiefirst-party cookie)和第三方cookiethird-party cookie)的区别。上面提到的 CSRF 攻击,就是利用了第三方 cookie可以携带发送的特点 。

“同站cookie”不是根据同源策略判断,而是PSL(公共后缀列表),子域名可以访问父域名cookie,但父域名无法访问子域名cookie

SameSite总共有三个值:StrictLaxNone。以下内容引自阮一峰博客

  1. Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie

Set-Cookie: CookieName=CookieValue; SameSite=Strict;
  • 1

这个规则过于严格,可能造成非常不好的用户体验。比如像本人当前遇到的现象,cookie带不过,等于一直没有登录状态,就会回到登录页。

  1. Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Chrome 80之后默认设置为该值。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;
  •  

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="…"></a>发送 Cookie发送 Cookie
预加载<link rel=“prerender” href="…"/>发送 Cookie发送 Cookie
GET 表单<form method=“GET” action="…">发送 Cookie发送 Cookie
POST 表单<form method=“POST” action="…">发送 Cookie不发送
iframe<iframe src="…"></iframe>发送 Cookie不发送
AJAX$.get("…")发送 Cookie不发送
Image<img src="…">发送 Cookie不发送

设置了StrictLax以后,基本就杜绝了CSRF攻击。当然,前提是用户浏览器支持 SameSite 属性。

  1. None

浏览器会在同站请求、跨站请求下继续发送cookies,不区分大小写。网站可以选择显式关闭 SameSite 属性,将其设为 None ,同时必须设置 Secure 属性(表示Cookie 只能通过 HTTPS 协议发送,HTTP协议不会发送),否则无效。

下面为无效响应头:

Set-Cookie: widget_session=abc123; SameSite=None
  • 下面为有效响应头:
Set-Cookie: widget_session=abc123; SameSite=None; Secure
  •  

解决办法

  1. 显示关闭SameSite属性,按照上述有效响应头设置登录接口的响应头即可
//...
response.setHeader(name: "Set-Cookie", value: "_u=xxxx; Path=/Login; SameSite=None; Secure")
//...


2. 浏览器显式关闭该功能。(不推荐,这个功能还是蛮有用的)

  • 地址栏输入:chrome://flags/
  • 找到SameSite by default cookiesCookies without SameSite must be secure
  • 将上面两项设置为 Disable

3、Apache解决方案
首先你需要在httpd.conf文件中开启mod_header模块 

LoadModule headers_module modules/mod_headers.so

你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行

  1. Header always edit "Set-Cookie" "path=/" "path=/; Secure; SameSite=None" 对应windows下的apache

  2. Header edit "Set-Cookie" "path=/" "path=/; Secure; SameSite=None" 对应linux下的apache

这里修改完有些人可能不生效,关键字就是always 如果你加了always不生效就去掉,反之则加上。我亚马逊服务器与自己的服务器虽然是相同的apache2.4但是出来的结果竟然不同,都是CentOS7.所以这里我也不太清楚到底是哪里影响了。具体自己测试吧!

4、Nginx解决方案
首先如果你的项目上使用了反向代理那么恭喜你,你只需要简单的参照转发的这个进行设置
https://blog.cat73.org/20170802/2017080201.nginx-cookie-sucure/
如果你的项目上没有配置反向代理那么你需要配置反向代理到你自己的项目上,在反向代理的服务器去配置这个如上面参考
才能生效,直接配置在自己的服务器上是无法生效的。

参考

  1. http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

  2. https://www.ithome.com/0/471/735.htm

  3. https://www.chromestatus.com/feature/5088147346030592

果然如此
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
chrome 同站策略(samesite)问题及解决方案
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 415
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
理解“same-site“ 和 “same-origin“
weixsun的博客
04-14 742
Understanding "same-site" and "same-origin" 作者:Eiji Kitamura 译者:weixsun 原文:Understanding "same-site" and "same-origin" "same-site" and "same-origin" are frequently cited but often misunderstood te
chrome更新到80以上版本后,带来的跨域请求cookie丢失问题
qq_26094091的博客
06-03 3690
chrome更新到80以上版本后,带来的跨域请求cookie丢失问题 cookie的SameSite属性默认值由None变为Lax 此时可以尝试显式声明 Cookie 的SameSite属性为None,并设置Secure (不然无效)。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 更多参考:谷歌浏览器 Cookie 的 SameSite 属性 (转) 它可以设置三个值。 Strict Lax None None Chrome 计划将Lax变为默认设置(80版本已实施
如何使用 Apache 配置设置 SameSite cookie 属性?
hzjhss的博客
09-02 545
我无法在“应用程序”选项卡中使用内置开发人员工具看到 SameSite=Strict。请让我知道如何使用上述设置设置 SameSite=Strict。为什么它对你不起作用?也许它在分号后缺少“空格”?我在 Apache 配置中添加了下面的标题代码。对于低于 2.2.4 的 apache2。对于 apache2 >= 2.2.4。[apache 手册] (
跨域cors扩展插件chrome
12-13
标题中的“跨域cors扩展插件chrome”指的是用于解决Web应用程序跨域问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如域名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
chrome跨域插件cros(Allow-Control-Allow-Origin).zip
03-25
chrome跨域插件CORS离线下载,解压后有两个压缩包,直接把B压缩包拖放到chrome插件管理页面即可。或者解压A压缩包得到一个crx文件和一个zip文件,把这两个中的任一个拖放到插件管理页面即可。
cross-request 3.0支持YAPI跨域本地测试
04-19
使用yapi跨域访问,支持chrome浏览器,在chrom浏览器中输入 chrome://extensions/ 打开以后,再打开开发模式,然后将这个zip包直接拖入到扩展程序就行 【注意】 拖入的时候,要把这个zip直接拖入到 扩展程序,最左上...
修改/增加chrom浏览器请求头
12-22
修改这些头信息可以用于模拟不同设备、浏览器,或者解决跨域问题,进行API测试等。 首先,Chrome浏览器提供了一种扩展机制,允许用户安装插件来增强其功能。在给定的文件中,"ModHeader_212.crx"很可能就是一个用于...
谷歌 samesite 问题以及如何解决使用session登录验证
dcfok的博客
02-18 1872
谷歌samesite的问题下,对登录和验证码以及session的使用进行解决
谷歌浏览器80版本SameSite属性所引发的一系列问题
qq_14853853的博客
09-23 1595
文章目录前言一、场景分析二、使用步骤1.引入库2.读入数据总结 前言 写博客主要是为了记录一下工作中所遇到的一些问题,下一次再出现相同的问题,也好迅速的解决,本篇文章用来记录登录模块所遇到的一些坑。 一、场景分析 某天,前端小姐姐突然问我,为啥她的验证码一直过期(线上环境),经过一顿排查,发现是浏览器的问题,只有用谷歌浏览器(80版本之后)才会出现验证码失效问题。经过一顿搜索找到答案,谷歌浏览器在80版本之后,对SameSite属性做出了一些更改,它的默认值从None变为了Lax,桥豆麻袋!!!Sa.
使用chrome开发 时登录出现保存不了cookie, 有关SameSite = Lax 警告的问题
白白白桃乌龙的博客
03-17 6583
今天开发时忽然登录不上了,发现本地没有把cookie保存下来,可是其他浏览器都可以登录 啊,这应该不是代码问题,总觉得是谷歌的锅。 吧 百度都百度不到问题 ,令人掉发,最终找了半天找到一个解决方法: 在浏览器中输入: 把这两项disabled ...
关于Chrome中SameSite安全机制的问题及解决方案
老男孩的博客
08-07 4880
谷歌浏览器的SameSite安全机制的问题,浏览器在跨域的时候不允许request请求携带cookie,所以会带来一些系列问题。。。。 以下方案只在80版之下使用: 在服务端使用中间件进行允许跨域设置: res.set('Access-Control-Allow-Origin',req.headers.origin);//允许跨域的请求源 res.set('Access-Control-Allow-Credentials',true);//允许跨域后session的存取 res.set('Access.
谷歌浏览器新版本Chrome 80默认SameSite导致跨域登录状态失效的问题
热门推荐
随风丶逆风的博客
03-13 3万+
大概新年新气象吧,大家复工之后都追求一个“新”,不少用户升级到了Chrome 80,然后发现登入成功之后总是重定向回统一登录页,然后头秃的我感觉头上更凉了。 定位问题 生产环境出了问题,肯定得赶紧寻找问题根源啊。(三步走路子) 第一步,最先以为cookie失效的问题,于是远程用户,发现浏览器cookie设置正常,域名下cookie也有值,但就是带不过去后台,于是开始怀疑跨域出了问题。 第二步,遂...
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
Chrome 80 Cookie跨域 Samesite Lax 的错误
郎涯技术
07-30 1万+
本地局域网前后端分离的项目,前端是192.168.123.90,后端是192.168.123.2。今天早上发现用户登录报告登录失败(本质原因是无法设置cookie)。一开始以为后端出问题了,但最近没改用户登录的相关逻辑,后来换火狐、edge 是可以的,并且有些人的 Google 可以正常登录。 有问题的Google浏览器的调试信息报告以下错误: 设置cookie时提示:This set-cookie didn't specify a "SameSite" attribute and was defaulte
项目原本访问正常,在谷歌Chrom 升级到80后,跨域Samesite必须有值影响跨域项目解决
谦虚使人发胖的博客
07-30 2290
问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。Nginx解决方案 首先如果你的项目上使用了反向代理那么恭喜你,你只需要简单的参照转发的这个进行设置。 用 Nginx 自动给 Cookie 增加 Secure 和 HttpOnly 在 nginx 的 location 中配置 # 只支持 proxy 模式下设置,SameSite 不需要可删除,如果想更安全可以把 SameSite 设置为 Strict proxy_cookie_path / "/; httponly;
关于谷歌chrom 80版本升级
05-01
谷歌Chrome 80版本升级后,...总的来说,谷歌Chrome 80版本升级后,用户可以更好地保护自己的隐私和安全,但同时也可能会对一些旧版本网站的兼容性产生影响。建议大家使用最新版Chrome,保障自己的网络安全及使用体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值