跨域情况下SameSite属性对Cookie的作用

最新推荐文章于 2024-04-29 15:45:07 发布
最新推荐文章于 2024-04-29 15:45:07 发布
阅读量901 收藏 3
点赞数 2
文章标签: java cookie ajax跨域问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjfalz/article/details/120256748
版权

跨域情况下SameSite属性对Cookie的作用

前提假设

  1. 假设前端页面的运行地址为 http://localhost:8848/demo-cors/index.html,后端接口的运行地址为 http://127.0.0.1:10071/domain-one/method-a。注意,对 cookie 来说, domain=127.0.0.1domain=localhost 是不同的,可以认为是两个域名。

响应的情况

  1. 后端设置cookie时如果没有显式的指定 domainpath ,那么默认是后端项目的上下文地址,例如,对于 http://127.0.0.1:10071/domain-one/method-a 来说就是 domain=127.0.0.1path=/domain-one 。当这种cookie返回给前端时,前端是能接收到的,但是在开发者工具中的application.cookies中并不能查看到该cookie,注意,这不是因为 127.0.0.1localhost 域名不同导致的没有显示,而是浏览器没有将该 cookie 进行保存。
  2. cookie 没有设置 SameSite 属性的情况下,浏览器默认会把该属性设置为 Lax 。如果要改变上面提到的默认行为,让浏览器能够保存第三方的 cookie ,我们需要在设置 cookie 时显式的将 SameSite 属性设置为None,并将Secure属性设置为true
  3. 对什么是第三方cookie解释一下,例如,前端运行的地址是 http://192.168.0.199:8848/demo-cors/index.html,而cookiedomain=192.168.0.100,那么对于该网站地址来说,这个cookie就是第三方cookie,反过来说,这个网站地址对于这个cookie来说就是第三方网站。

请求的情况

  1. 当第三方网站对cookie的来源站发起请求时,SameSite=Nonecookie能够被携带并发送出去,SameSite=LaxSameSite=Strict有其各自的规则,所以在跨域情况下并且对cookie有操作时,建议把cookieSameSite设置为None,注意SameSite设置为None的同时一定要把Secure属性设置为true

SpringBoot中如何设置SameSite属性

ResponseCookie rc = ResponseCookie.from("hjf", "jinf")
        .secure(true)
        .sameSite("None")
        .build();
response.setHeader(HttpHeaders.SET_COOKIE,rc.toString());

参考: SameSite cookies.

JinF~
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ie7下利用ajax跨域盗取cookie的解决办法
10-30
网上的很多文章提到的利用ajax盗取cookie的代码经我测试不可行。
asp.net(C#)跨域跨域Cookie问题
01-01
解决方法是: 代码如下: //www.B.com里的被调用的页面需要写P3P头,从而解除IE对写Cookie的阻止 context.Response.AddHeader(“P3P”, “CP=CAO PSA OUR”); //www.A.com里通过ajax调用www.B.com里的内容时,是跨域...
后端代码设置Samesite属性
Artisan_w
03-05 2661
Samesite属性设置 目的:防御CSRF Cookie属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
统一认证,跨域cookie写入问题,修改sameSite
Thog_13的博客
06-21 1337
认证中心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题。
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 306
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
[Java]Spring增加Cookie属性SameSite
qq_28033719的博客
07-01 5699
前言: SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太新了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于新的浏览器(chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。 SameSite: 防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...
新版chrome跨域问题cookie之SameSite属性
Welcome to Domla's world
03-16 2万+
最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题: 发现问题: 登录界面前后端分离,ajax...
Vue axios 跨域请求无法带上cookie的解决
10-14
主要介绍了Vue axios 跨域请求无法带上cookie的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
解决跨域Cookie的SameSite问题(使用Nginx)
tmyth的专栏
02-16 3万+
#简介 Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
apache开启后无效解决方法
sunyinggang的博客
01-20 1029
如果按照步骤安装apache的话(如果没有安装Apache,可以查看我的另一篇博客,附上链接:http://blog.csdn.net/sunyinggang/article/details/78761610),如果apache无效的话,可能是你不小心打开了防火墙(就比如你设置远程访问mysql时不小心打开了防火墙),但是防火墙默认不会允许80端口,所以我们要进行设置,允许防火墙访问80端口 只
chrome浏览器解决跨域请求三种方案
热门推荐
Fonlin的博客
08-12 4万+
在chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
谷歌浏览器google80以上版本开发调试跨域问题处理,SameSite设置
qq445829096的博客
09-02 2918
谷歌浏览器跨域问题,系统登录后,从session获取用户信息还是提示登录超时, 后台已经设置了允许127.0.0.1:8080跨域,其他内核浏览器只要后台设置跨域后都没这个问题,谷歌内核特殊 网上也有查找谷歌的一些安全性的设置 经过查询资料发现: 从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置当前默认是关闭的在Chrome 80之后,该功能默认已开启 1、快...
cookie SameSite属性
weixin_45444309的博客
04-08 735
cookie之SameSite属性 问题描述: 前端调取后端返回base64编码格式字符串验证码的接口,response返回set-Cookie Set-Cookie: laravel_session=eyJpdiI6IlNKbDdBeU5PdjBVOFJsYnpYSmRLRHc9PSIsInZh bHVlIjoiekdRc2ZMQWpLNlJHTE9MM1RyRnhPUFVnN0RyNmRcLytnK1NFa1p3MElNMWNRODFTampG ZjhGanVxenhOUldjc3oiLCJtYWMiO
跨站SameSite
pacong的博客
06-03 96
那种jsp前后端没分离的项目,依赖cookie判断登录状态,在后端加个过滤器,给首次请求加个header并设置cookiecookie失效的解决方法就是配置cookie并设置https访问。如果说没有这个SameSite,在很早的时候是没有这个东西的。设置Cookie的时候浏览器会加一个属性SameSite。由他来决定这个cookie到底是发,还是不发。把系统的页面嵌入到别的系统去,出现各种问题。如图中的img,iframe,ajax。那么这个cookie到底是发还是不发。2,cookie会失效。
Cookie 的 SameSite 属性
日积月累的博客
11-22 6138
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3074
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
Springboot JSESSIONID 设置 SameSite 属性为 NONE
星光的博客
06-02 5644
application.yml server: servlet: session: cookie: secure: true
Springboot应用中设置Cookie的SameSite属性跨域支持
seapeak007的博客
02-07 9829
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
cookie跨域情况
07-13
对于跨域情况下的 Cookie,主要有以下几种情况: 1. 不带凭证的跨域请求:默认情况下,浏览器在跨域请求中不会发送携带 Cookie 的头信息,即使存在 Cookie。这是出于安全考虑,防止跨站点请求伪造(CSRF)攻击。 2. 带凭证的跨域请求:如果需要在跨域请求中发送 Cookie,可以设置请求的 `credentials` 属性为 `include`。同时,服务器需要设置响应头 `Access-Control-Allow-Credentials: true` 表示允许请求携带 Cookie。 3. 域名与路径限制:Cookie 的域名和路径属性可以限制 Cookie作用范围。通常,Cookie 只在设置它的域名及其子域名下有效,且只在设置它的路径及其子路径下有效。 4. SameSite 属性:SameSite 属性可以控制 Cookie 只能在同一站点下使用,防止跨站点请求伪造攻击。它有三个值可选:Strict、Lax 和 None。Strict 表示只允许在同一站点下使用,Lax 表示部分限制,None 则没有限制。 需要注意的是,跨域情况下的 Cookie 使用需要遵循浏览器的安全策略,确保合理使用 Cookie,并防止潜在的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值