解决chrome升级后跨域跳转cookie无法携带问题

最新推荐文章于 2024-04-29 15:45:07 发布
最新推荐文章于 2024-04-29 15:45:07 发布
阅读量4.6k 收藏 2
点赞数
分类专栏: 环境配置 文章标签: chrome 前端 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lianlin21212411/article/details/121287303
版权

昨天加班被一个问题困住了好久

问题描述

与同事调cas登录,用的方式为使用iframe访问后台一个接口,为了让iframe自动跳转到cas最终带回cookie,这样后边的接口都可以带着cookie进行访问了。但问题是我机器一直在页面和cas登录页面来回跳,但我同事的机器没有问题。

问题定位

我的机器是chrome92,我同事的机器是chrome64,通过对比两个人的网络请求参数发现,我的iframe请求跳转到cas登录页面没有带着cookie信息,而我同事的带着cookie信息
请添加图片描述

问题解决

现在知道是什么原因导致的了,现在来处理一下。通过网络查询,chrome 78~91之间的版本可以通过将SameSite by default cookiesCookies without SameSite must be secure(chrome://flags/)这两项设置为disable来解决。恰巧我的版本是92,网有说可以通过在快捷方式上增加--disable-features=SameSiteByDefaultCookies参数来解决。亲试成功了!!!

原因

应用网友[https://juejin.cn/post/6844904088774115341]的描述:

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值:

Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
复制代码这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;
复制代码设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

None

网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
Set-Cookie: widget_session=abc123; SameSite=None; Secure

chrome升级到80版本之后(准确的说是78版本之后),cookie的SameSite属性默认值由None变为Lax,这个才是本次事件的根本原因。

参考资料:
Chrome浏览器版本升级带来的跨域访问问题
chrome浏览器92版本SameSite by default cookies被移除后的解决方案,Chrome中跨域请求无法携带Cookie的解决方案

Initialize-le
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
完美解决Chrome Cookie SameSite跨站限制
josiah_zhao的博客
03-10 7063
问题背景 在前后端分离的大趋势下,如果没有额外的配置部署方案,前端地址和后台API地址是不一样的。比如在本地开发调试阶段,前端地址为http://localhost:3000,后台API地址为http://api.server.com/api/list。 那么地址不一样会有什么问题呢? 如果你请求的后台API需要携带Cookie进行鉴权,那么在这种地址不一样的情况下,会因为浏览器的Cookie SameSite的跨站限制,导致Cookie不会被正确传递,进而导致请求API接口总是报错没有认证或者权限不足。
超简洁Chrome插件 94版本Cookie SameSite 跨站解决方案
q291947864的博客
09-30 906
超简洁一键开启Chrome>94版本cookie共享
Chrome:您的浏览器限制了第三方Cookie...解决方法
YunShuiShanFeng
03-14 8675
问题: 打开优酷云视频,提示:限制了第三方Cookie 解决方法: 参考:https://www.cnblogs.com/Summer6/p/11671204.html chrome://flags/ 把这句复制到浏览器回车 找到下面这两项设置成 Disable即可: SameSite by defaultcookies Cookieswithout SameSite must ...
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 382
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
谷歌浏览器不携带Cookie
weixin_45543508的博客
12-17 467
1.在谷歌浏览器中搜索chrome://flags/ 2.在出现的页面搜索框中搜索SameSite 3.把第一个改为disable 4.然后重启浏览器
关于chrome更新导致无法手动设置cookie
dragon_zjl的博客
02-14 1200
关于chrome更新导致无法手动设置cookie 因项目原因本地环境启动后需要手动设置cookie,早上打开电脑后发现设置cookie时出现了下面这种情况 在网上找到得方法大多都是搜索chrome://flags再搜索SameSite再去设置。。。 可是我搜索到的却是: 后来发现SameSite by default cookieschrome91版本已经被移除了。 解决方法如下: 地址栏输入 chrome://flags/ ,搜索Partitioned cookies,然后将配置项改成Enabled
chrome浏览器(高版本、低版本) cookie无法设置/刷新无法保存/爆红问题
xueqinglalala的博客
02-28 6008
一、新版chrome浏览器解决方案: 如果你的谷歌浏览器版本较新 在谷歌浏览器中搜索chrome://flags/ 搜索Partitioned cookies ,改为Enabled 重启浏览器后生效(如果重启浏览器不生效,建议重启电脑再试试) 二、旧版chrome浏览器解决方案: 在浏览器地址栏里输入:chrome://flags/ 搜索same-site 如图所示 将前两项 禁用 即可 设置后重启浏览器(如果重启浏览器不生效,建议重启电脑再试试) ...
Ajax跨域请求COOKIE无法带上的完美解决办法
12-09
1、原生ajax请求方式: 1 var xhr = new XMLHttpRequest();  2 xhr.open(“POST”, ...  3 xhr.withCredentials = true; //支持跨域发送cookies 4 xhr.send(); 2、jquery的ajax的post方法请求: ... // 允许携带证书
Vue axios 跨域请求无法带上cookie解决
10-14
主要介绍了Vue axios 跨域请求无法带上cookie解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 ...搜索问题,发现跨域,服务器响应的setCookie浏览器无法保存,而且就算保存了域名不同也不能携带。 第一步: 后台添加过滤器,因为前后端分离,不可能每个方
Ajax跨域访问Cookie丢失问题解决方法
10-20
主要介绍了Ajax跨域访问Cookie丢失问题解决方法,需要的朋友可以参考下
页面间固定参数,通过cookie传值的实现方法
08-30
下面小编就为大家带来一篇页面间固定参数,通过cookie传值的实现方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决chrome浏览器高版本/98版本无法在本地手动添加cookie,刷新无法保留,cookie项报红的问题
weixin_50287600的博客
02-11 1000
谷歌浏览器自动升级到了98版本,因为之前项目是需要手动添加一个cookie在本地开发调试的,现在就无法手动进行添加cookie了,而且高版本移除了SameSite by default cookies,导致之前的方法不能使用,手动设置之后cookie还报红色 现在只需要打开Chrome中访问地址chrome://flags/ 搜索Partitioned cookies将设置项改为Enabled即可,重启浏览器 ...
iframe嵌套第三方页面跨域cookie问题
热门推荐
zhengaog的博客
04-09 2万+
问题描述: 192.168.40.26服务器上有一个项目,某个页面嵌入了第三方系统平台, 第三方系统平台服务器地址是:192.168.40.67 页面嵌入成功,只能访问到登录页,登陆成功但是页面不进行跳转。 如果单独登录第三方平台,如下图: 嵌入第三方后页面 ,如下图: 提示正常登陆成功,却没有跳转页面。页面晃动一下,但还是停留在登陆页面上。 判断是因为跨域问题,嵌入页面时使用192.168.40.26IP地址访问第三方192.168.40.67登录接口时登陆成功,但是前端页面也在这个192.168.
Chrome 浏览器 Cookie 跨域共享与Chrome升级91版本问题
烫一壶女儿红
06-25 1626
Chrome 51版本后91版本前 Chrome 51 版本开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite 可以设置三个值(Strict、Lax、None)。 详见阮一峰的Cookie 的 SameSite 属性 由此可见,在开发过程中运行本地项目调试接口,如果某些接口使用cookie作为校验,会涉及到cookie跨域丢失问题。对于前端来说,调试项目时想要实现浏览器跨域共享cookie,必须设置浏览器的实验属性。 在Chrome 地址
90版本以上的谷歌浏览器,本地请求不携带cookie
TurtleOrange的博客
07-21 2462
90版本以上的谷歌浏览器,本地请求不携带cookie 1.发现问题 本地用谷歌浏览器跑localhost代码在登录页面去登录,接口一直报请求超时(之前没有问题),经查看前端在发请求的时候没有携带cookie(如下图) 2.产生问题原因 经过测试,谷歌浏览器线上代码没问题√,谷歌浏览器跑本地代码localhost有问题×,火狐浏览器线上代码没问题√,火狐浏览器跑本地代码localhost没有问题√; 原因是:Chrome禁用第三方Cookies的计划,在91版本后谷歌浏览器把same-site-by-def
浏览器对跨域请求携带Cookie的方法
qq_48617322的博客
07-20 5687
浏览器对跨域请求携带Cookie的方法 企业开发时会分开发环境、测试环境以及生产环境,但是有的企业开发只有真正发布到线上的生产环境的流程才会严格配置,有的项目开发环境或者测试环境中,前后端配置没有特别严格要求,就导致前端请求发送时返回错误信息。比如项目发送了一个跨域请求,该请求需要自动携带Cookie信息给服务器进行身份认证,但是浏览器对跨域的请求不会自动携带Cookie的数据,此时在生产环境中前后端配置正常该请求正常返回数据,但是在开发环境和测试环境中要求不严格,前后端没有配合设置好配置信息,导致请求无法
iframe之cookie丢失
asdfghkhh的博客
06-13 2545
利用iframe引入另外一台服务器的页面时,当引入登陆页时,登陆会导致token存储失败,可以利用localstorage去存储解决
Chrome浏览器Iframe镶嵌页面时不携带Cookie
gltncx11的博客
10-26 2389
谷歌浏览器不携带Cookie 服务页面登录后闪烁又返回登录界面 问题现象:         监控服务页面Sentinel和XXL-JOB登录后闪烁又返回登录界面,通过排查发现登录请求是没有携带Cookie,导致登录失败,后续请求返回401。 问题原因:         Chrome 51版本后浏览器的 Cookie 新增加了一个SameSite属性,
nginx解决跨域获取cookie问题
07-25
解决跨域获取 Cookie问题,可以通过配置 Nginx 来实现。以下是一种常见的方法: 1. 在 Nginx 配置文件中找到对应的 server 块,添加以下配置: ```nginx location / { add_header 'Access-Control-Allow-Origin' 'http://example.com'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept, Cookie'; } ``` 这里的 `'http://example.com'` 是你要允许的跨域请求的来源地址。你可以根据实际情况修改这个值。 2. 在需要跨域获取 Cookie 的请求中,需要设置 `withCredentials` 为 `true`。例如,在 JavaScript 的 AJAX 请求中添加以下代码: ```javascript xhr.withCredentials = true; ``` 这样,Nginx 将会在响应中包含 `Access-Control-Allow-Credentials: true` 头部,允许浏览器接收来自跨域请求的 Cookie。 3. 确保在 Nginx 配置中启用了 `proxy_cookie_domain` 设置。在 `http` 块中添加以下配置: ```nginx proxy_cookie_domain example.com your-domain.com; ``` 将 `example.com` 替换为实际的域名,将 `your-domain.com` 替换为你的域名,这样 Nginx 将会在代理请求时修改 Cookie 的域名。 请注意,在配置 Nginx 时,确保你已经了解了安全性和具体的需求,并做出相应的修改以满足你的应用程序的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值