cookie的SameSite属性不正确的问题

最新推荐文章于 2024-10-16 11:04:27 发布
最新推荐文章于 2024-10-16 11:04:27 发布
阅读量1.7k 收藏 4
点赞数 8
分类专栏: 后端 文章标签: cookie SameSite session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/if_echo_else/article/details/139114611
版权

解决方法-实践

后端接口设置了需要登陆才可以访问,浏览器前端调用接口,报错失败原因是xxx的服务端没有收到对应的cookie。

@login_required
def my_view(request):
    # 这里的代码只会在用户登录后执行
    # 你的逻辑代码
    return render(request, 'my_template.html')

看输出信息,应该是cookie的SameSite属性不正确的问题,但是以前没这个问题啊。最后,经过查看各种资料发现,chrome升级到80版本之后,cookie的SameSite属性默认值由None变为Lax。

在这里插入图片描述

在这里插入图片描述

解决方式如下:

  • 最简单(适合临时调试):设置chrome为禁用samesite。需要每个客户端修改设置,不现实。打开链接:chrome://flags/#same-site-by-default-cookies。然后搜索:SameSite by default cookies,将default改成disable即可。

在这里插入图片描述

  • 修改程序,主动设置SameSite属性。Django版本高于2.1,直接设置SESSION_COOKIE_SAMESITE=None即可;

  • 如果DJango版本低于2.1需要引入库django-cookie-samesite来处理:

    • 安装django cookies samesite: pip install django-cookies-samesite
    • 将中间件添加到中间件类的顶部MIDDLEWARE_CLASSES = ( ‘django_cookies_samesite.middleware.CookiesSameSite’, … )
    • 在settings.py中设置首选的samesite策略:
SESSION_COOKIE_SECURE = True SESSION_COOKIE_SAMESITE = 'None'

  • 注:必须同时有secure这个属性才行。真是个坑!

总结

根据上述,总共三种操作方式,汇整如下:

  • 最简单:设置chrom为禁用samesite

  • DJango版本低于2.1:引入库django-cookie-samesite来处理

  • Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None

Echo.py
关注
专栏目录
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5415
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
SpringBoot解决“此Set-Cookie标头指定‘SameSite属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
m0_71905098的博客
07-02 1286
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域的问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
具有不安全、不正确或缺少SameSite属性Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
前端 Session 管理与调试:常见错误与解决方案
apple_64847327的博客
09-22 1196
在现代 web 应用开发中,前端与后端的交互变得日益复杂。Session 管理作为用户状态跟踪的一种机制,对于确保用户数据的一致性和安全性至关重要。
SpringBoot解决“此Set-Cookie标头指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 2430
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造
qq_43613949的博客
06-19 1680
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造@
Cookie 的 SameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
Cookie中SameSite问题与解决办法
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全性
pageaudit属性正确_Cookie 的 SameSite 属性
weixin_39863918的博客
12-03 130
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。一、CSRF 攻击是什么?Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。举例来说,用户登陆了银行网站http://your-bank.com,银行服务器发来了一个 Cookie。Set-Cooki...
This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax‘
神zhi殇的博客
03-06 2145
它返回一个设置了Cookie的响应,而且该Cookie指定SameSite属性,浏览器就会发出这个警告。本地登录某个项目系统的时候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie,导致401登录系统失败。这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。: SameSite属性Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将请求发送到基于Magento的网站...
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 2056
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie中的
具有不安全、不正确或缺少 SameSite 属性Cookie
08-27
具有不安全、不正确或缺少SameSite属性Cookie指的是在网站中的Cookie设置中,没有正确设置或缺少SameSite属性,或者设置的SameSite属性值不安全。SameSite属性用于控制Cookie是否能够跨站点发送,以提高安全性。 ...
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3818
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
Nginx设置HttpOnly Secure SameSite参数 解决Cookie信息丢失
最新发布
一个标题
10-16 800
Nginx设置HttpOnly Secure SameSite参数 解决Cookie信息丢失
Chrome浏览器中接口set-cookie加SameSite=None导致cookie设置失效,无法登录
onlyliii的博客
08-28 1万+
方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=value; Secure 方法二:使用Chrome浏览器打开 chrome://flags/#same-site-by-default-cookies 把SameSite by default cookies设置为disabled,重启浏览器即可正常使用 参考资料:https://www.zhihu.com/question/373011...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值