chrome 同站策略(samesite)问题及解决方案

已于 2022-06-09 14:32:07 修改
阅读量2.7w 收藏 69
点赞数 17
分类专栏: Web 文章标签: SameSite 同站策略 同源策略
于 2021-01-08 18:31:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leftfist/article/details/112283784
版权

一、同站策略问题

chrome自版本80之后,出现了所谓同站策略问题。

即,在A页面请求B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的服务器。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,仿佛这是理所应当,自然而然的,现在好了,chrome区分情况,不一定允许这么干了。

这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们项目来说,原本我们有些WEB项目,会用iframe将其他项目的一些页面嵌进去,看上去就好像同一个系统一样,这叫界面集成吧,很正常的行为。两边项目的自动登录什么的都搞好了,一直运行正常。后来升级了浏览器,发现嵌进去的页面数据出不来。程序没有做任何更改,最后发现是账号登录问题,嵌进去的页面始终处于无法登录状态,从而导致获取不了数据。

具体来说,cookie是由服务器分配给浏览器的,相当于给了浏览器一个访问凭证。浏览器每次访问服务器的时候,都会带上这些个凭证。现在由于浏览器策略改变,嵌进去的页面与服务器交互的时候,无法带上cookie,服务器检索不到这个凭证,就每次都给页面分配一个新的cookie,前后对应不上,当然就登录不了了。

其实,chrome一直有这个同站策略,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite可以设置三个值:

Strict
Lax
None

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。

Lax规则稍稍放宽,分情况处理,具体如下
在这里插入图片描述
None的话,就不做是否同站的检查和限制。以前,chrome默认SameSite=None,80版本以后则默认是Lax了。这也是为什么chrome升级以后,程序突然异常的缘故。

二、解决方案

1、修改浏览器设置
这种方法简单粗暴,直接将浏览器的SameSite的属性设置回到以前的None状态。姑且不论用户是否愿意,但单就每台机的浏览器都要进行设置而言,已经违背了BS架构应用的最大优点,就是客户端无须安装部署这一宗旨。所以我觉得这是一个实在没有别的办法的时候,才不得不采取的措施。

设置方法如下:

1)chrome地址栏输入chrome://flags
2)通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关
3)重新启动浏览器

2、Set-Cookie:SameSite=None
就是将response的header设置Set-Cookie:SameSite=None。

Set-Cookie: SameSite=None; Secure

Set-Cookie

这里有个疑问,谁来设置这个set-cookie?以上述我们项目为例,A项目的页面用iframe嵌入了B项目的页面,是A项目来设置set-cookie还是B项目?应当是B。因为嵌入的是B项目的页面,response来自B服务器,A使不上劲。

注意必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。这意味着,B项目必须采用https?不过我试了几下,发现没什么效果。也许我的A项目本身是http,需要A和B都为https才可以?不清楚。

不过有个设置 SameSite 为 none的实例。以 Adobe 网站为例:https://www.adobe.com/sea/,查看请求可以看到:
在这里插入图片描述
3、Nginx做网站映射
(我习惯叫映射,但一般叫做转发)
SameSite策略针对的是不同站的请求,同站就没有问题。那么A项目嵌入B项目的页面,将B站点映射为同一个站点不就好了?同站与同源(非跨域)是不一样的,我感觉同站比同源要严格一些。解决同源问题,即跨域问题,顶级域名相同就可以了;同站的话,域名要保持一致,端口可以不一样,所以如果映射为同站,可以域名或IP相同,端口不同。

同站与同源的区别很复杂,可以看看这里。

映射站点的不二选择,当然是Nginx了。比如A项目在我本地,http://localhost:8081,现在嵌入了B项目的页面,B项目地址为http://192.168.0.248:8082/,现在需要映射为http://localhost:8082。

1)新建一个Nginx的配置文件【nginx所在目录】/conf/nginx2.conf

worker_processes  1;

error_log  logs/error.log debug;

events {
    worker_connections  1024;
}

http {
    server {
		listen       8082;  
        server_name  localhost;  
		location / {
			proxy_pass http://192.168.0.248:8082/;
		}
    }
}

2)运行nginx

nginx.exe -c D:\soft\nginx-rtmp-win32-1.2.1\conf\nginx2.conf

映射之后,A项目嵌入的B项目页面改用新地址,浏览器就以为它们是同一站点,放松警惕,该干啥干啥了。

三、总结

谷歌浏览器的这种同站策略是一种傲慢,虽然它也允许B服务器设置SameSite=None,但要跟https绑定。网络有互联网和局域网之分,安全从来都是相对的,要跟付出的代价一起衡量。在局域网中,A、B项目都是自己开发的,嵌入有何不可?https的话,要制作证书,本身是非常繁琐的。幸好其他浏览器还没有跟进。

2022.06.09
采用https的话,就算浏览器无法识别证书,数据仍然是加密传输的,安全可以得到保证。

Cookie 的 SameSite 属性
浏览器系列之 Cookie 和 SameSite 属性

左直拳
关注
  • 17
    点赞
  • 69
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理
05-17
应该不发送相同的站点 该模块随附: 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。 甲快递中间件shouldSendSameSiteNone用于自动地除去SameSite=None reqesting客户端时,从响应的头是不兼容SameSite=None 。 (注意:在适用的情况下,您仍然有责任添加“安全” cookie属性。) 背景 在2020年2月推出的Chrome 80中,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr
Chrome 同站策略(SameSite问题
weixin_46607967的博客
10-12 1151
iframe中输入账号密码后登录无法跳转
跨域cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 7045
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
This attempt to set a cookie via a Set-Cookie header was blocked due to user preferences
lys20000913的博客
03-05 398
iframe嵌入的页面无法登陆 cookie读写失败;使用iframe嵌入第三方页面后登录不进去,当遇到这个问题的时候可以打开你的netwoker 检查一下 是不是 提示了cookie的一个warn 如下图所示。打开你的页面查看地址栏最后 是不是有一个小眼睛 点一下 将第三方cookie设置为允许即可。
Chrome 同站策略(samesite问题探究
大魔王sama的博客
10-12 1738
项目背景 需求是一个类似 Disqus 的用户评论系统,用户评论模块使用 Iframe 嵌入到其他网站;但是用户属于公共的用户系统,所以使用单点登录,需要用到登录系统生成的 Cookie。 问题及探究 用户评论模块通过 Cookie 调取用户信息时,控制台提示: this set-cookie didnot specify a "sameSite" attribute and was defaulted to "sameSite=Lax" and broke the same rules specified
Cookie 的 SameSite 属性
日积月累的博客
11-22 5773
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 8936
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
Chrome解决访问限制SameSite设置
weixin_48017822的博客
06-08 9456
Cookie——SameSite属性 SameSite属性:Chrome浏览器为了防止CSRF攻击和用户追踪,Cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险。即如调用第三方登录组件,会完全禁止第三方Cookie,跨站点时,任何情况下都不会发生Cookie。换言之,即当前网页的URL与请求目标一致,才会带上Cookie。 放开限制设置方法:https://support.siteimprove.com/hc/en-gb/articles/360007364778-Tu.
一次跨域问题的解决经历(samesite
DATANGguanjunhou的博客
02-06 2568
1. 问题描述 生产和测试环境使用nginx做了反向代理,所以不存在跨域的问题,但是在本地研发环境,由于前后端分离,前端和后端在不同的电脑上开发,存在跨域问题。 前端使用的是vue,后端使用的是springboot。在前后端都做了跨域的设置,前端的设置为: //前端在vue的main文件全局添加一下代码: import axios from 'axios'; axios.defaults.withCredentials=true; 后端的设置为: import org.springframework.co
SameSite是什么?
0xuu的博客
07-04 508
其方案就是给 Cookie 新增一个属性,用这个属性来控制什么情况下可以发送 Cookie,这个属性就是我们今天要讨论的 SameSite 属性。当然,前提是用户浏览器支持 SameSite 属性。稍微尴尬的是有些企业还没有这个觉悟,比如我们常用的 Java Web 开发底层框架,Servlet 的 Cookie 类还没有支持这个新的属性,需要我们自己去实现。就像对抗疫情一样,Web 安全治理需要整个行业技术生态的支持,从这个角度看,我们互联网技术人应该积极响应和支持 Google 的这个策略
关于Chrome中SameSite安全机制的问题解决方案
老男孩的博客
08-07 4848
谷歌浏览器的SameSite安全机制的问题,浏览器在跨域的时候不允许request请求携带cookie,所以会带来一些系列问题。。。。 以下方案只在80版之下使用: 在服务端使用中间件进行允许跨域设置: res.set('Access-Control-Allow-Origin',req.headers.origin);//允许跨域的请求源 res.set('Access-Control-Allow-Credentials',true);//允许跨域后session的存取 res.set('Access.
一键搞定Chrome同步
04-05
在使用Chrome时肯定会遇到不能登录,不能同步的问题。各种解决方法可能比较麻烦。此处转载一个可用的Chrome同步助手,安装方法可搜索crx插件安排方法。亲测可用!非本人编写,只是搬运到此。如果作者有意见,请联系。
chrome-same-site
07-16
将指定网站上的 Cookie 恢复为旧版 SameSite 行为,下载之后将baidu.com改为自己需要设置的域名
解决Chrome账户不能同步问题
06-23
1、将下载的.CRX格式的插件修改成.zip(或.rar)格式的文件。 2、对该zip文件解压缩,得到一个文件夹。(打开文件夹,有一个_metadata的文件夹,去掉下划线,将文件名改为metadata。) 3、在谷歌浏览器里–更多工具–扩展程序–开启开发者选项–加载已解压的扩展程序–打开我们解压后的文件夹上传【Chrome-Sync-Helper】(如果有风险提示也忽略继续确认) 【上传成功后就会出现你的插件。】 4、就可以同步信息了
SpringBoot favicon Chrome设置问题解决方案
08-25
在本篇文章里小编给大家分享的是关于SpringBoot favicon Chrome设置问题实例内容,小的朋友们可以参考学习下。
chrome生僻字解决方案
12-28
chrome生僻字解决方案
chrome调用ocx完美解决方案
07-19
chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案,很详细。chrome调用ocx完美解决方案...
node-v14.17.3-darwin-x64.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
如何让chrome可以 samesite by default cookies
04-20
可以通过在Chrome浏览器URL栏中输入chrome://flags/#same-site-by-default-cookies并启用SameSite by default cookies标志来实现。启用此功能后,Chrome浏览器将根据SameSite属性自动为所有cookie添加SameSite属性。这将使得第三方网站无法访问您的Cookie,有效提高了您的网络安全和隐私保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值