关于Chrome浏览器升级到80版本后受影响的场景以及解决方案

最新推荐文章于 2021-10-28 10:14:58 发布
最新推荐文章于 2021-10-28 10:14:58 发布
阅读量4.9k 收藏 5
点赞数 3
分类专栏: 安全 文章标签: chrome 前端 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l714417743/article/details/107763366
版权

文章目录

背景

今天子涵先生,收到小伙伴反馈说80版本的chrome浏览器,cas登录失败了。
小伙伴还是非常给力的,场景说明也非常具体:chrome 80 浏览器下,无法访问原本通过 iframe 形式嵌入的页面,并在控制台报如下错误:

A cookie associated with a cross-site resource at http://ip/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

经查询相关资料,原来是Google在2020年2月4号发布的 Chrome 80 版本,中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上SameSite=Lax 属性,并且拒绝非Secure的Cookie设为SameSite=None,此举是为了从源头屏蔽 CSRF 漏洞。

cas为啥会受影响?

cas的认证过程中,会存储TGC到浏览器的cookie中,谷歌浏览器的升级,导致 chrome 在跨站(cross-site)的情况下是否已经无法set cookie,从而导致了cas的认证过程中断。

受影响的场景

下列已知场景会在 Chrome 80 中受到影响:

  1. 组件数据基于第三方登陆态的 API 请求
    检查您的组件是否使用了 API,并且 API 是否基于第三方网站的登录态返回相关用户数据,如果是,请往下看:
    使用的 API 为 HTTPS 协议:请看 方案三
    使用的 API 为 HTTP 协议:请看 方案三
  2. http 本地部署
    影响:Chrome 80 会拦截 http 协议下的登陆功能,导致整个本地部署服务无法使用
    解决方案:方案一 或 方案二 或 方案三

解决方案

方案一 手动设置

Chrome 中打开 chrome://flags/#same-site-by-default-cookies 和 chrome://flags/#cookies-without-same-site-must-be-secure ,设置为 Disabled ,重启浏览器。

方案二 版本回退

降级到 Chrome 79 及以下版本,并关闭自动更新。
方案一、二需要用户改变浏览器环境,用户肯定不乐意……

方案三 (非同域应用)

此场景需要将 API 切换为 HTTPS 协议(需要有 SSL 证书),并且检查响应头中的 Set-Cookie 中是否包含了 SameSite=None 和 Secure字样。

方案四(同域应用)

把所有应用做到同域。例如使用nginx反向代理。

甲方的系统一般都是由多方共同参与的,出现问题的场景正好是,A供应商的系统通过iframe的方式集成了B供应商的页面,B供应商的系统是使用cas实现单点的。对于我们来说,方案四就行不通咯。

资料引用:

1、关于 Chrome (谷歌浏览器)升级到 80 后可能产生的影响以及解决方案
2、关于 chrome 80 后出现的 SameSite 问题
在这里插入图片描述

感谢您的赏读。客官,点赞、留言再走呗~或者留下您的问题一起探讨

在这里插入图片描述

子涵先生
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WebOffice浏览器兼容性设置
代码改变生活
01-12 6929
weboffice官方下载地址: http://www.officectrl.com/download_01.htm //WebOffice问题解决 http://forum.dianju.cn/viewforum.php?f=3&sid=691ec321f8b5218ff9a0d259f83e0498 weboffice浏览器兼容性设置 //浏览器兼...
pdf.js v2.13.94-beta 支持chrome 80以下版本
06-27
综上所述,PDF.js v2.13.94-beta是针对旧版Chrome优化的PDF查看解决方案,其背后涉及到JavaScript的高级用法、浏览器兼容性问题、性能优化等多个重要知识点。开发者在使用此库时,需要理解其工作原理并根据项目需求...
谷歌浏览器稳定版_80_X64.exe
04-04
浏览器稳定版本,64位系统windows系统的浏览器,谷歌浏览器有着一些其他浏览器无法替代的作用。双核浏览器,简约纯净无广告,快速稳定,拒绝卡顿,智能双核,无缝切换;给您带来秒开网页的超快体验,双核浏览器。Google Chrome的设计超级简洁,使用起来得心应手。谷歌浏览器的耀眼之处在于多进程架构,很大程度上避免了恶意网页和应用软件的侵入而崩溃。谷歌浏览器官方下载版是基于其他开源软件基础上开发的,Chrome浏览器下载版目标是提升稳定性、兼具速度和安全性,并提供简单高效的用户界面。
原版Chrome 64位正式稳定版(版本80.0.3987.100) 2020年2月18日发布
02-24
原版Chrome 64位正式稳定版(版本80.0.3987.100) 2020年2月18日发布 本浏览器为三无产品:无流氓、无病毒、无捆绑; 无推送、无新闻、无飘窗; 理念:不作恶. 下载后可以核对数字签名
谷歌浏览器历史版本下载
qq_43050077的博客
08-15 3966
亲测可用 [谷歌浏览器历史版本下载] (https://mydown.yesky.com/pcsoft/105582038/versions/)
chrome更新到80以上版本后,带来的跨域请求cookie丢失问题
qq_26094091的博客
06-03 3669
chrome更新到80以上版本后,带来的跨域请求cookie丢失问题 cookie的SameSite属性默认值由None变为Lax 此时可以尝试显式声明 Cookie 的SameSite属性为None,并设置Secure (不然无效)。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 更多参考:谷歌浏览器 Cookie 的 SameSite 属性 (转) 它可以设置三个值。 Strict Lax None None Chrome 计划将Lax变为默认设置(80版本已实施
关于 Chrome谷歌浏览器升级80 后可能产生的影响以及解决方案
P_Doraemon的博客
10-28 585
点击
chrome不支持form.submit的解决方案
12-01
在提供的解决方案中,作者针对Chrome浏览器进行了特殊的处理。这里使用`navigator.userAgent`来检测浏览器类型,通过正则表达式`/chrome/i.test(browserName)`、`/webkit/i.test(browserName)`和`/mozilla/i.test...
删除谷歌广告的chrome浏览器插件
03-02
针对这种情况,"删除谷歌广告的Chrome浏览器插件"提供了一种解决方案,帮助用户在浏览网页时过滤掉不必要的广告,提升上网速度和舒适度。 Chrome浏览器插件是一种基于谷歌Chrome浏览器的应用程序,它们扩展了浏览器...
C# chrome内核浏览器
02-02
标题中的"C# chrome内核浏览器"指的是使用C#编程语言开发的、基于Chrome浏览器内核的Web浏览器。这种浏览器利用了Google Chrome的开源项目Chromium的Web渲染引擎Blink,为用户提供快速、安全的浏览体验。C#是一种由...
Chrome浏览器离线安装包v46.0.2490.80 m
11-08
Chrome浏览器离线安装包v46.0.2490.80 m 参考:http://blog.csdn.net/testcs_dn/article/details/49717055
Chrome80.0.3987.132(64位)独立安装包
03-11
不是那种setup点击后再去下载。是正宗的Chrome80.0.3987.132(64位)独立安装包。双击即可安装无需2次下载。
Chrome 80.0.3987.122[64位带更新功能官方正式版].zip
03-17
谷歌浏览器Google Chrome稳定版迎来v80第五个维护版本发布,详细版本号为v80.0.3987.122,上一个正式版v80.0.3987.116发布于2月19日,时隔6天Google又发布了新版Chrome浏览器,本次升级主要是更新了安全修复和稳定性改进及用户体验。
原版Chrome(谷歌浏览器) for Mac, 版本 86.0.4240.80(正式版本) (x86_64)googlechrome.dmg
10-14
原版Chrome(谷歌浏览器) for Mac, 版本 86.0.4240.80(正式版本) (x86_64)googlechrome.dmg
chrome浏览器当表单自动填充时如何去除浏览器自动添加的默认样式
09-03
本文将介绍如何去除Chrome浏览器自动填充时添加的默认样式。 首先,问题的根源在于Chrome浏览器对自动填充的input元素添加了一个名为`-webkit-autofill`的私有样式。这个样式会给输入框添加淡黄色背景(`background...
chrome获取的request没带上cookie并报错同源策略
lx583274568的专栏
08-14 995
A cookie associated with a cross-site resource at h was set without the `SameSite` attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You 1.打开chrome://flags/ ..
Chrome 91+ 版本Iframe嵌入其他站点页面报错
xy596356456的博客
06-25 3105
Chrome的SameSite策略 Chrome浏览器于51版本引入SameSite属性,默认值为None,用于管控跨站页面的Cookie携带问题 主要用于防止进行用户追踪和CSRF攻击,具体内容可以查看下边大神的文章 Cookie 的SameSite属性 --阮一峰的网络日志 Chrome 86版本发布时(2020年10月)开始滚动更新 SameSite的默认值为 Lax(追溯到80+版本),当时一批使用Iframe嵌入其他站点页面的系统出现异常,可以通过调整Chrome配置解决这个问题: Ch
Google Chrome 80 正式发布
llawliet0001的专栏
02-27 646
从此版本开始,Google开始推出新的Cookie分类系统,该公司称该系统“默认情况下是安全的”。 “ Chrome将开始执行新的默认安全性cookie分类系统,将没有声明SameSite值的cookie视为SameSite = Lax cookies。仅将cookie设置为SameSite = None;安全性将在第三方上下文中提供,前提是它们是通过安全连接访问的,“ Google本月初宣...
chrome浏览器跨域问题
最新发布
08-09
3. CORS(跨源资源共享):CORS 是一种现代浏览器支持的跨域解决方案。服务器可以通过设置响应头中的 `Access-Control-Allow-Origin` 字段来指定允许跨域访问的源。例如,可以设置为 `Access-Control-Allow-Origin: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

子涵先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值