chrome 同站策略(samesite)问题及解决方案

已于 2024-07-19 22:27:22 修改
阅读量3.1w 收藏 79
点赞数 22
分类专栏: Web 文章标签: SameSite 同站策略 同源策略
于 2021-01-08 18:31:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leftfist/article/details/112283784
版权

一、同站策略问题

chrome自版本80之后,出现了所谓同站策略问题。

即,在A页面请求B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的服务器。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,仿佛这是理所应当,自然而然的,现在好了,chrome区分情况,不一定允许这么干了。

这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们项目来说,原本我们有些WEB项目,会用iframe将其他项目的一些页面嵌进去,看上去就好像同一个系统一样,这叫界面集成吧,很正常的行为。两边项目的自动登录什么的都搞好了,一直运行正常。后来升级了浏览器,发现嵌进去的页面数据出不来。程序没有做任何更改,最后发现是账号登录问题,嵌进去的页面始终处于无法登录状态,从而导致获取不了数据。

具体来说,cookie是由服务器分配给浏览器的,相当于给了浏览器一个访问凭证。浏览器每次访问服务器的时候,都会带上这些个凭证。现在由于浏览器策略改变,嵌进去的页面与服务器交互的时候,无法带上cookie,服务器检索不到这个凭证,就每次都给页面分配一个新的cookie,前后对应不上,当然就登录不了了。

其实,chrome一直有这个同站策略,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite可以设置三个值:

Strict
Lax
None

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。

Lax规则稍稍放宽,分情况处理,具体如下
在这里插入图片描述
None的话,就不做是否同站的检查和限制。以前,chrome默认SameSite=None,80版本以后则默认是Lax了。这也是为什么chrome升级以后,程序突然异常的缘故。

二、解决方案

1、修改浏览器设置
这种方法简单粗暴,直接将浏览器的SameSite的属性设置回到以前的None状态。姑且不论用户是否愿意,但单就每台机的浏览器都要进行设置而言,已经违背了BS架构应用的最大优点,就是客户端无须安装部署这一宗旨。所以我觉得这是一个实在没有别的办法的时候,才不得不采取的措施。

设置方法如下:

1)chrome地址栏输入chrome://flags
2)通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关
3)重新启动浏览器

2、Set-Cookie:SameSite=None
就是将response的header设置Set-Cookie:SameSite=None。

Set-Cookie: SameSite=None; Secure

Set-Cookie

这里有个疑问,谁来设置这个set-cookie?以上述我们项目为例,A项目的页面用iframe嵌入了B项目的页面,是A项目来设置set-cookie还是B项目?应当是B。因为嵌入的是B项目的页面,response来自B服务器,A使不上劲。

注意必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。这意味着,B项目必须采用https?不过我试了几下,发现没什么效果。也许我的A项目本身是http,需要A和B都为https才可以?不清楚。

不过有个设置 SameSite 为 none的实例。以 Adobe 网站为例:https://www.adobe.com/sea/,查看请求可以看到:
在这里插入图片描述
3、Nginx做网站映射
(我习惯叫映射,但一般叫做转发)
SameSite策略针对的是不同站的请求,同站就没有问题。那么A项目嵌入B项目的页面,将B站点映射为同一个站点不就好了?同站与同源(非跨域)是不一样的,我感觉同站比同源要严格一些。解决同源问题,即跨域问题,顶级域名相同就可以了;同站的话,域名要保持一致,端口可以不一样,所以如果映射为同站,可以域名或IP相同,端口不同。

同站与同源的区别很复杂,可以看看这里。

映射站点的不二选择,当然是Nginx了。比如A项目在我本地,http://localhost:8081,现在嵌入了B项目的页面,B项目地址为http://192.168.0.248:8082/,现在需要映射为http://localhost:8082。

1)设置Nginx的配置,如

http {
    server {
		listen       8082;  
        server_name  localhost;  
		location / {
			proxy_pass http://192.168.0.248:8082/;
		}
    }
}

2)运行nginx

映射之后,A项目嵌入的B项目页面改用新地址,浏览器就以为它们是同一站点,放松警惕,该干啥干啥了。

三、总结

谷歌浏览器的这种同站策略是一种傲慢,虽然它也允许B服务器设置SameSite=None,但要跟https绑定。网络有互联网和局域网之分,安全从来都是相对的,要跟付出的代价一起衡量。在局域网中,A、B项目都是自己开发的,嵌入有何不可?https的话,要制作证书,本身是非常繁琐的。幸好其他浏览器还没有跟进。

2022.06.09
采用https的话,就算浏览器无法识别证书,数据仍然是加密传输的,安全可以得到保证。

Cookie 的 SameSite 属性
浏览器系列之 Cookie 和 SameSite 属性

php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5580
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
Chrome 配置samesite=none方式
m0_67400973的博客
08-01 3663
Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 4113
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件中开启mod_header模块  LoadModule headers_module modules/mod_headers.so 你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行 Header always edit Set-Cookie path=/ path=
小程序接口使用时,HttpOnly cookie 中的 sameSite 设置什么最合适
最新发布
轻风细雨_林木木
04-15 175
是设置 Cookie 的一个安全属性,用来防止。它是SameSite的三种取值之一。SameSite
Chrome 同站策略SameSite问题
weixin_46607967的博客
10-12 1965
iframe中输入账号密码后登录无法跳转
【谷歌浏览器】谷歌浏览器SameSite
Meditation_Crazy
04-12 918
前言 转载自:https://blog.csdn.net/opiqi/article/details/107955465
Chrome解决访问限制SameSite设置
热门推荐
weixin_48017822的博客
06-08 1万+
Cookie——SameSite属性 SameSite属性:Chrome浏览器为了防止CSRF攻击和用户追踪,Cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险。即如调用第三方登录组件,会完全禁止第三方Cookie,跨站点时,任何情况下都不会发生Cookie。换言之,即当前网页的URL与请求目标一致,才会带上Cookie。 放开限制设置方法:https://support.siteimprove.com/hc/en-gb/articles/360007364778-Tu.
chrome浏览器解决跨域请求SameSite方案
kaosini的专栏
09-28 1124
chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
Google chrome 80版本Google chrome 80版本 重定向问题解决.docx
03-31
在这个特定的文档中,我们找到了一个针对此问题的临时解决方案,涉及到Chrome的一项名为“SameSite by default cookies”的设置。 首先,我们需要了解“SameSite”标签。这是一个在HTTP cookie头中使用的属性,它...
Chrome游览器改变SameSite设置
weixin_49847526的博客
11-07 8698
Chrome浏览器改变SameSite设置 Chrome 默认将没有设置SameSite设置为SameSite=Lax SameSite取值 Strict Strict完全禁止第三方Cookie,跨站点时,任何情况下都不会发送Cookie Lax Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 None 网站可以选择显式关闭SameSite属性,将其设为None。 不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送)
Chrome 同站策略samesite问题探究
大魔王sama的博客
10-12 1966
项目背景 需求是一个类似 Disqus 的用户评论系统,用户评论模块使用 Iframe 嵌入到其他网站;但是用户属于公共的用户系统,所以使用单点登录,需要用到登录系统生成的 Cookie。 问题及探究 用户评论模块通过 Cookie 调取用户信息时,控制台提示: this set-cookie didnot specify a "sameSite" attribute and was defaulted to "sameSite=Lax" and broke the same rules specified
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2465
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置跨域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网站的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
谷歌 samesite 问题以及如何解决使用session登录验证
dcfok的博客
02-18 1987
谷歌samesite问题下,对登录和验证码以及session的使用进行解决。
解决chromesamesite
少年有事问春风
09-10 1089
解决chromesamesite
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
weixin_39459811的博客
07-05 922
SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
浏览器中的同源策略、CORS 以及相关的 Fetch API 使用
henry_23的博客
08-01 1748
笔者对前端 Web 技术的认真学习,其实开始于与 Fetch API 的邂逅。当时觉得fetch()的设计很不错,也很希望能够请求其它网站下的数据并作处理和展示。学习过程中 HTML 和 CSS 都还好说,由于几乎没有 Web 技术的基础,学习 Fetch API 的时候费了不少功夫,主要是其中涉及不少 HTTP 标头相关知识和习惯,也不理解 Fetch API 中很多属性和参数的意义或者为什么这么设计,更不必说 JavaScript 多种多样的版本和语法,以及十分重要的异步 I/O。
超简洁Chrome插件 94版本Cookie SameSite 跨站解决方案
q291947864的博客
09-30 1242
超简洁一键开启Chrome>94版本cookie共享
前端跨域问题解决方案以及代码
03-17
<think>嗯,用户之前问过关于ECharts的使用,现在又问前端跨域问题解决方案和代码。看来他们可能在开发前端项目,遇到了跨域的问题,需要具体的解决办法。 首先,用户可能是在本地开发时遇到了跨域,比如用Vue或React启动了一个本地服务器,然后请求后端API时出现跨域错误。这时候他们需要知道如何配置代理或者后端设置CORS。 然后,用户可能对跨域的基本概念不太清楚,需要先解释什么是跨域,同源策略的限制。不过用户直接要解决方案和代码,可能已经知道基础,但需要具体的方法。 常见的解决方案包括:后端设置CORS,前端配置代理,JSONP,Nginx反向代理,Webpack配置代理,postMessage,修改浏览器设置等。其中,CORS和代理是比较常用的,尤其是开发环境下,前端代理很常见。 需要详细说明每种方法的适用场景和具体实现步骤,比如CORS需要后端设置响应头,前端代理则是在开发服务器中配置,避免直接请求后端地址导致跨域。 还要注意安全性问题,比如CORS中不要滥用Access-Control-Allow-Origin为*,生产环境应该指定具体域名。Nginx配置反向代理时也要注意路径匹配和头信息传递。 另外,用户可能需要代码示例,比如如何在Express中设置CORS,Vue的vue.config.js怎么配代理,或者Nginx的配置片段。JSONP的例子虽然现在用的少,但可能某些旧项目还在用,也需要提及。 可能需要区分开发环境和生产环境的解决方案,开发时用代理,生产用Nginx或者后端处理。同时,提醒用户JSONP只支持GET请求,其他方法有局限性。 还要考虑用户的技术栈,比如他们之前用Vue3和ECharts,可能更熟悉Vue的代理配置,所以提供vue.config.js的例子会更实用。 总结下来,回答的结构应该是先解释跨域原因,再列出各种解决方案,每种方案给出适用场景、实现步骤和代码示例。最后给出最佳实践建议,帮助用户根据具体情况选择合适的方法。</think>以下是前端跨域问题的完整解决方案及代码实现指南,结合不同开发场景提供多种解决方式: --- ### 一、跨域本质解析 **同源策略限制**:当协议、域名、端口任一不同时触发跨域拦截 **典型错误**:`Access-Control-Allow-Origin`缺失导致的`No 'Access-Control-Allow-Origin'`错误 --- ### 二、解决方案分类 #### 1. 后端协作方案 **(1) CORS跨域资源共享** ```javascript // Node.js Express示例 app.use((req, res, next) => { res.header("Access-Control-Allow-Origin", "http://localhost:8080") // 精确白名单 res.header("Access-Control-Allow-Methods", "GET,POST,PUT,DELETE,OPTIONS") res.header("Access-Control-Allow-Headers", "Content-Type,Authorization") res.header("Access-Control-Allow-Credentials", "true") // 允许携带cookie req.method === 'OPTIONS' ? res.sendStatus(200) : next() }) ``` **(2) Nginx反向代理** ```nginx # nginx.conf配置片段 server { listen 80; server_name api.yourdomain.com; location / { proxy_pass http://localhost:3000; # 后端真实地址 add_header Access-Control-Allow-Origin $http_origin; add_header Access-Control-Allow-Methods *; add_header Access-Control-Allow-Headers *; if ($request_method = 'OPTIONS') { return 204; } } } ``` --- #### 2. 纯前端方案 **(1) 开发环境代理(Webpack/Vite)** ```javascript // vue.config.js module.exports = { devServer: { proxy: { '/api': { target: 'http://backend-service:3000', changeOrigin: true, pathRewrite: { '^/api': '' } } } } } ``` **(2) JSONP(仅限GET请求)** ```javascript function jsonp(url, callback) { const script = document.createElement('script') script.src = `${url}?callback=${callback}` document.body.appendChild(script) } // 全局定义回调函数 window.handleResponse = (data) => { console.log('Received:', data) } // 调用示例 jsonp('http://api.example.com/data', 'handleResponse') ``` **(3) postMessage跨窗口通信** ```javascript // 子窗口发送消息 window.parent.postMessage({ type: 'data', content: 'payload' }, 'http://parent-domain.com') // 主窗口监听 window.addEventListener('message', (event) => { if (event.origin !== 'http://child-domain.com') return console.log('Received:', event.data) }) ``` --- ### 三、特殊场景解决方案 #### 1. WebSocket跨域 ```javascript const ws = new WebSocket('ws://socket-server.com') // 协议升级自动跨域 ws.onopen = () => { ws.send('Connection established') } ``` #### 2. 跨域图片资源 ```html <img crossorigin="anonymous" src="http://external.com/image.jpg"> <!-- 需配合服务端设置Access-Control-Allow-Origin --> ``` #### 3. 本地文件协议跨域 ```bash # Chrome启动参数(开发测试用) chrome.exe --disable-web-security --user-data-dir="C:/temp" ``` --- ### 四、安全增强措施 1. **CORS白名单控制** ```javascript const allowOrigins = ['https://your-domain.com', 'http://localhost:8080'] app.use((req, res, next) => { const origin = req.headers.origin if (allowOrigins.includes(origin)) { res.setHeader('Access-Control-Allow-Origin', origin) } // ...其他配置 }) ``` 2. **CSRF Token验证** ```javascript // 前端在每个请求头携带token axios.interceptors.request.use(config => { config.headers['X-CSRF-Token'] = getCookie('csrfToken') return config }) ``` --- ### 五、最佳实践建议 1. **开发环境**:优先使用Webpack/Vite代理 2. **生产环境**: - 部署同域服务 - 必须跨域时使用Nginx反向代理+CORS 3. **敏感接口**: - 添加`Access-Control-Allow-Credentials: true` - 配合SameSite Cookie策略 4. **移动端Hybrid开发**: - 使用WebView自定义协议拦截 - 或通过Native Bridge中转请求 --- ### 六、调试工具验证 ```javascript // 使用fetch测试CORS配置 fetch('http://api.example.com/data', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ test: 1 }) }) .then(response => response.json()) .then(data => console.log(data)) .catch(error => console.error('CORS Error:', error)) ``` --- **方案选择决策树**: 1. 是否控制后端 → 是:CORS/Nginx 2. 仅前端控制 → 开发用代理,生产用JSONP/postMessage 3. 需要双向通信 → WebSocket 4. 旧系统兼容 → JSONP 通过合理组合这些方案,可以解决99%的前端跨域问题,建议优先采用标准化的CORS方案+反向代理模式。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值