chrome 80+ SameSite属性

最新推荐文章于 2022-06-13 21:36:41 发布
最新推荐文章于 2022-06-13 21:36:41 发布
阅读量778 收藏
点赞数
分类专栏: 前端 文章标签: javascript chrome webpack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lookBackward/article/details/104987146
版权

周末空挡,整理下公司CAS单点登录出现的问题。

起因:一直在用的项目,忽然相继出现iframe嵌套的第三方页面跳出CAS登录页面。排查发现是项目存储的cookie属性TGC在跳转的时候消失了。

先说下环境,项目与cas服务不是部署在同一个域下的,项目是域名的形式(www.a.com)而cas服务是ip(192.168.10.99)的形式。

项目集成了cas单点登陆系统,是通过restful的形式接入的,使用了应用独立的登陆界面,在登陆成功后会用AJAX调用casserver的addCasCookie接口,通过tgt换取tgc的cookie,cookie的domain是192.168.10.99。

在出问题的浏览器中发现 该cookie没有正常被写入,报了SameSite错误。

网上查找资料发现:chrome 80于2020.2.27发布,强制启用SameSite属性(Cookie 的SameSite属性用来限制第三方 Cookie,不能携带cookie进行跨域post访问),如果没有显式设置则默认值为Lax,杜绝了 CSRF 攻击。它可以设置三个值:Strict,Lax,None。在get请求的前提下,导航到目标网址以下三种情况会正常发送cookie,其余情况均不会发送。我们iframe嵌套第三方页面自然是不在发送的范围了。

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

解决方法1:可以显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效,也就是说项目和cas服务都需要是https协议。  

解决方法2:既然是跨域导致的问题,那去掉跨域的情况问题就解决了,将cas的地址192.168.10.99 绑定到域名cas.a.com,那么cas和应用都在同一个域(a.com)下自然不会有SameSite问题。

lookBackward
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cas无法使用_电子口岸无法登陆报错,CAS无法使用在试图完成你的请求时出错
weixin_39927683的博客
11-28 1万+
一、故障描述接到客户报修说,公司的电子口岸无法登录,报错内容如下:电子口岸无法登陆报错,CAS无法使用 在试图完成你的请求时出错。请通知你的技术支持或重试。二、使用卡介质登录插入卡介质,然后输入密码,登录报错。无法登录,电子口岸无法登陆报错,CAS无法使用 在试图完成你的请求时出错。请通知你的技术支持或重试。解决办法:1、重新安装客户端。选择金税盘。重新登录。发现还是报错。AS无法使用在试图完成你...
单点登录跨域碰上SameSite问题
滴水穿石
08-26 2495
单点登录跨域碰上SameSite问题项目场景:问题描述:原因分析:解决方案:这里还遇到一个问题:headers一直是空? 项目场景: 两个项目:auth_webapp、admin_webapp 单点登录流程: 点击登录请求:/auth/api/login?name=xxx&password=xxx,auth服务器用jwt处理后获得token,将token写入cookie,并返回token。 前端请求:/admin/api/getLoginVo,admin服务器返回提示未登录。 前端再次请求:/au
配置或学习记录 - Web安全漏洞问题解决方案参考
Bingo冲冲冲
10-17 8674
下面是由AppScan测试工具所扫描出的一些Web安全漏洞,将解决方案记录在此。(应用使用了Nginx作为反向代理服务器,本文的解决方案都是基于Nginx配置的) 安全漏洞清单: 解决方案(以下涉及的配置文件指Nginx服务器的配置文件nginx.conf): 1.加密会话(SSL)Cookie中缺少Secure属性 2.检测到弱密码套件:不支持完全前向保密、弱密码套件-ROBOT 攻击: 服务器支持易受攻击的密码套件、检测到SHA-1密码套件(这里前端请求使用的是https,http请求请忽略) 3
chrome浏览器跨域Cookie的SameSite问题导致访问iframe内嵌页面异常
热门推荐
CoreyJu的博客
09-16 6万+
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute问题还原原因分析可能在 Chrome 80 中受到影响的场景如下解决方案 问题还原 原先一直访问正常的系统,最近打开页面一直加载不出来。 初步分析,该系统为iframe内嵌第三方系统页面,将iframe中的链接复制出来可以单独访问,排除第三方系统的问题。 进一步尝试,将这个带有链接的iframe放在一个全新的html文件
谷歌浏览器80版本SameSite属性所引发的一系列问题
qq_14853853的博客
09-23 1591
文章目录前言一、场景分析二、使用步骤1.引入库2.读入数据总结 前言 写博客主要是为了记录一下工作中所遇到的一些问题,下一次再出现相同的问题,也好迅速的解决,本篇文章用来记录登录模块所遇到的一些坑。 一、场景分析 某天,前端小姐姐突然问我,为啥她的验证码一直过期(线上环境),经过一顿排查,发现是浏览器的问题,只有用谷歌浏览器(80版本之后)才会出现验证码失效问题。经过一顿搜索找到答案,谷歌浏览器在80版本之后,对SameSite属性做出了一些更改,它的默认值从None变为了Lax,桥豆麻袋!!!Sa.
chrome-same-site
07-16
将指定网站上的 Cookie 恢复为旧版 SameSite 行为,下载之后将baidu.com改为自己需要设置的域名
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将请求发送到基于Magento的网站...
ChromeSetup+Chrome安装软件
02-13
**Chrome浏览器安装与使用详解** 谷歌Chrome是一款广受欢迎的网络浏览器,以其快速、稳定和安全性著称。在本文中,我们将深入探讨如何安装ChromeSetup.exe文件来安装Chrome浏览器,以及Chrome的一些关键特性和使用...
Chrome浏览器+Chromedriver(版本98.0.4758.80)
02-16
这个特定的版本“98.0.4758.80”是Chromedriver的一个更新,确保与Chrome浏览器的相应版本兼容。 在自动化测试中,Chromedriver扮演着关键角色。它允许开发者通过Selenium WebDriver接口控制Chrome浏览器,执行各种...
liulanqi-chrome+yilaibao
最新发布
02-02
标题“liulanqi-chrome+yilaibao”和描述“liulanqi_chrome+yilaibao”暗示了这个压缩包可能包含与Chrome浏览器和安全相关的组件。从标签“chrome”我们可以推断,主要内容将围绕Google Chrome浏览器。接下来,我们...
谷歌浏览器80版本以后,如何处理出现的问题SameSite跨域问题
pocher的博客
06-13 534
谷歌浏览器80版本以后,如何处理出现的问题SameSite跨域问题
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
王洪彪的个人博客
03-11 2万+
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件中开启mod_header模块 LoadModule headers_module modules/mod_headers.so 你打开它以后并不...
google浏览器cookie跨域携带和samesite的问题
weixin_45670469的博客
07-13 2705
前端时间项目登录过程中使用google登录一直登录不上,知道是google版本更新,一直没时间来解决,这次抽空把这个问题解决下,做一些说明记录
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
chrome 同站策略(samesite)问题及解决方案
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
【开发心得】Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
清风唱诗人的博客
07-19 5529
前言:场景是cas单点登录,使用iframe解决跨域问题。 chrome 版本大于80 且 小于91的情况,可以通过 在chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可 感谢:https://www.cnblogs.com/sexintercourse/p/14674090.htm.
前后端分离Cookie sameSite坑 跨域之坑
qq_37060233的博客
01-22 5万+
在前后端分离解决跨域问题过程中,利用CORS解决跨域问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,中间反反复复,最后要放弃的时候无意中看到一个大神的博客。 SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnb...
chrome浏览器解决跨域请求SameSite方案(cookie没有传)
qq_34231078的博客
06-08 1237
1、在chrome浏览器地址栏输入chrome://flags并回车 2、在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 3、点击右下键ReLaunch重启浏览器即可
Cookie 的 SameSite 属性
【欢迎关注公众号:冬瓜白】
04-14 771
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set...
如何让chrome可以 samesite by default cookies
04-20
可以通过在Chrome浏览器URL栏中输入chrome://flags/#...启用此功能后,Chrome浏览器将根据SameSite属性自动为所有cookie添加SameSite属性。这将使得第三方网站无法访问您的Cookie,有效提高了您的网络安全和隐私保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值