周末空挡,整理下公司CAS单点登录出现的问题。
起因:一直在用的项目,忽然相继出现iframe嵌套的第三方页面跳出CAS登录页面。排查发现是项目存储的cookie属性TGC在跳转的时候消失了。
先说下环境,项目与cas服务不是部署在同一个域下的,项目是域名的形式(www.a.com)而cas服务是ip(192.168.10.99)的形式。
项目集成了cas单点登陆系统,是通过restful的形式接入的,使用了应用独立的登陆界面,在登陆成功后会用AJAX调用casserver的addCasCookie接口,通过tgt换取tgc的cookie,cookie的domain是192.168.10.99。
在出问题的浏览器中发现 该cookie没有正常被写入,报了SameSite错误。
网上查找资料发现:chrome 80于2020.2.27发布,强制启用SameSite属性(Cookie 的SameSite
属性用来限制第三方 Cookie,不能携带cookie进行跨域post访问),如果没有显式设置则默认值为Lax,杜绝了 CSRF 攻击。它可以设置三个值:Strict,Lax,None。在get请求的前提下,导航到目标网址以下三种情况会正常发送cookie,其余情况均不会发送。我们iframe嵌套第三方页面自然是不在发送的范围了。
请求类型 | 示例 | 正常情况 | Lax |
---|---|---|---|
链接 | <a href="..."></a> | 发送 Cookie | 发送 Cookie |
预加载 | <link rel="prerender" href="..."/> | 发送 Cookie | 发送 Cookie |
GET 表单 | <form method="GET" action="..."> | 发送 Cookie | 发送 Cookie |
POST 表单 | <form method="POST" action="..."> | 发送 Cookie | 不发送 |
iframe | <iframe src="..."></iframe> | 发送 Cookie | 不发送 |
AJAX | $.get("...") | 发送 Cookie | 不发送 |
Image | <img src="..."> | 发送 Cookie | 不发送 |
解决方法1:可以显式关闭SameSite
属性,将其设为None
。不过,前提是必须同时设置Secure
属性(Cookie 只能通过 HTTPS 协议发送),否则无效,也就是说项目和cas服务都需要是https协议。
解决方法2:既然是跨域导致的问题,那去掉跨域的情况问题就解决了,将cas的地址192.168.10.99 绑定到域名cas.a.com,那么cas和应用都在同一个域(a.com)下自然不会有SameSite问题。