Chrome 80+关于跨站访问Cookies的巨大变动,导致登录失败

最新推荐文章于 2024-03-11 14:52:26 发布
最新推荐文章于 2024-03-11 14:52:26 发布
阅读量2k 收藏 4
点赞数 1
分类专栏: 其它
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovelyelfpop/article/details/108501677
版权

前言

最近有部分开发者同事的 Chrome 被自动升级到 80+的版本,然后发现 网页登录后的请求没带上 cookies,导致用户验证失败。

主要发生在:前端页面 和 后台服务 不在一台服务器上,ip或者域名不同,即跨站请求时出现的。

这是因为谷歌从2月17日开始对 Chrome80+ 开启了 SameSite="Lax"(限制跨站访问 Cookie)。
在这里插入图片描述

根据在线流量监控器StatCounter的数据,Chrome是最受欢迎的网络浏览器,这一变化将在2020年影响全球64%的互联网用户。请继续阅读以了解如何避免这种变化影响用户!

在介绍 SameSite 之前,先认识下 跨站 cookies,以及利用跨站 cookies 实现的 CSRF跨站攻击 和 用户追踪。

CSRF 跨站攻击

用一个示例来介绍:

受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。

Set-Cookie:id=a3fWa;

黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他未登录,不能通过安全认证,因此该请求不会起作用。

这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码: <form src="http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory">,并且通过广告等诱使 Bob 来访问他的网站。

当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。

用户追踪

比如天猫就是通过淘宝的 JSONP 接口来判断用户是否登录的

SameSite 属性

Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

  • Strict
  • Lax
  • None

Strict

Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

Lax

Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。
在这里插入图片描述
设置了 StrictLax 以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

None

Chrome 已从2月17日将部分人群的 Lax 变为默认设置(以前的默认值是 None)。

这时,网站可以选择显式关闭 SameSite 属性,即将其设为 None。不过,前提是必须同时设置 Secure 属性(即表示 Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效

Set-Cookie: widget_session=abc123; SameSite=None; Secure

解决办法

开发环境

如果是开发者,使用的 localhost,可以浏览器进入 chrome://flags/#same-site-by-default-cookies ,将 SameSite by default cookies 设为 disabled
在这里插入图片描述

生产环境

如果是正式发布的站点,有2种方式:

1、建议网站升级到 https,然后 cookies 中增加 SameSite=None; Secure 2个标识

如果不是 http,而又只设置了 SameSite=None; 是无效的。None 必须和 Secure 一起使用。
其实谷歌在建议大家都升级到 https。

如下图,没有设置 Secure 的 cookies,即使加了 SameSite=None 也有警告
在这里插入图片描述
在这里插入图片描述

2、使用反向代理,将不同站点代理成同一域名。
不存在跨站,就没有这个问题了

ASP.NET+IIS 如何设置 SameSite

1、.NET 4.7.2 及以后的版本 为自定义 cookies 设置 SameSite

var c = new HttpCookie("test");
c.SameSite = SameSiteMode.None;
c.Secure = true;

2、Form验证

编辑 web.config

<system.web> 之间加入

<authentication mode="Forms">
    <forms ..... cookieSameSite="Lax" />
</authentication>

3、ASP.NET 会话 cookie

编辑 Global.asax

void Session_Start(Object sender, EventArgs e)
{
    Response.Cookies["ASP.NET_SessionId"].SameSite = SameSiteMode.Lax;
    //while we're at it lets also make it secure
    if (Request.IsSecureConnection)
        Response.Cookies["ASP.NET_SessionId"].Secure = true;
}

4、.NET 4.8 中 cookie 的 “SameSite” 默认值是 Lax

可以修改 web.config

<system.web> 之间加入

<sessionState cookieSameSite="None" />

综合一下,可以在 web.config 的 <system.web> 中加上

<httpCookies sameSite="None" requireSSL="true" />
<sessionState cookieSameSite="None" />
<authentication mode="Forms">
    <forms cookieSameSite="None" />
</authentication>

微软文档说 <httpCookies> 加上 requireSSL="true" 就能在 cookies 中带上 Secure 标识了,但是实际上没效果,不知道是不是 bug。
在这里插入图片描述

最终在 Stack Overflow 上找到一个方法

<system.webServer>
    ...
    <rewrite>
        <outboundRules>
 
            <!-- 增加 "SameSite=None" 到所有 cookies 中-->
            <rule name="Add SameSite" preCondition="No SameSite">
                <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
                <action type="Rewrite" value="{R:0}; SameSite=None" />
            </rule>
 
            <!-- 当 https 访问,增加 "Secure" 到所有 cookies 中 -->
            <rule name="Add Secure" preCondition="No Secure">
                <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
                <action type="Rewrite" value="{R:0}; Secure" />
            </rule>
 
            <preConditions>
                <preCondition name="No SameSite">
                    <add input="{RESPONSE_Set_Cookie}" pattern="." />
                    <add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=" negate="true" />
                </preCondition>
                <preCondition name="No Secure">
                    <add input="{RESPONSE_Set_Cookie}" pattern="." />
                    <add input="{RESPONSE_Set_Cookie}" pattern="; Secure" negate="true" />
                    <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                </preCondition>
            </preConditions>
 
        </outboundRules>
    </rewrite>
</system.webServer>

上面的 rewrite 需要 IIS 安装 URL Rewrite 模块
在这里插入图片描述

rewrite 之后,就有 Secure
在这里插入图片描述

神秘_博士
关注
专栏目录
计算机网络必知必会
哇哦~
03-18 414
什么是网络协议,为什么要对网络协议分层 * 网络协议是计算机在通信过程中要遵循的一些约定好的规则。 网络分层的原因: 易于实现和维护,因为各层之间是独立的,层与层之间不会收到影响。 有利于标准化的制定 计算机网络的各层协议及作用 *** 计算机网络体系可以大致分为一下三种,七层模型、五层模型和TCP/IP四层模型,一般面试能流畅回答出五层模型就可以了,表示层和会话层被问到的不多。 应用层 应用层的任务是通过应用进程之间的交互来完成特定的网络作用,常见的应用层协议有域名系统DNS,HTTP协
js面试题
yang159819的博客
04-22 1499
1、介绍js的基本数据类型   答: Undefined、Null、Boolean、Number、String    2、js有哪些内置对象?  答:数据封装类对象:Object、Array、Boolean、Number 和 String   其他对象:Function、Arguments、Math、Date、RegExp、Error    3、this对象的理解  答:thi...
跨域访问解决方案,关于跨域访问cookie的资料
08-22
跨域访问解决方案,关于跨域访问cookie的资料
阻止跨网站跟踪(Prevent Cross-Site Tracking)时cookie未获取到,造成服务端获取session失败
会飞的海象
06-14 1万+
ActionContext.getContext().getSession().put(Constants.SYS_INFO, sysInfo); ActionContextUtil.getContext(accountNo).setThemeName(); ActionContextUtil.getContext(accountNo).setCustomI18N(); 配置文件config.p...
针对chrome跨站问题
isMe_Lamb的博客
08-20 222
输入chrome://flags/.将如下两项改为disabled:
google浏览器高版本 跨域第三方cookie(qlik)无法携带问题解决
lgq2016的博客
04-20 1870
报表门户网站多租户改造时,某个租户访问网站的域名属于外网(假设为:a.niu.com) 和集成的qlik报表服务域名不同(假设为:qlik.diao.com),这时候diao.com的cookie无法从当前站点a.niu.com携带到qlik.diao.com,这个问题目前常用的解决方案就是:第三方服务器设置cookie的属性:SameSite=None; Secure 即可。下面是samesite属性的简单介绍: SameSite 有3个值 1. Strict Strict最为严格,完全禁止第三方 Co
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 2137
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端传来的Cookie可以在前端正常保存,但当前端向后端请求时携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
面试题总汇
wx25051的博客
11-03 3841
一. FTP/TFTP/NFS 1.FTP的传输模式:ASCII传输模式和二进制传输模式。 ASCII传输模式: 假定用户正在拷贝的文件包含的简单ASCII码文本,如果在远程机器上运行的不是UNIX,当文件传输时ftp通常会自 动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。但是常常有这样的情况,用户正在传输的文件包含的不是 文本文件,它们可能是程序,数据库,字处理文件或者压缩文件(尽管字处理文件包含的大部分是文本,其中也包含有指示页尺寸,字库 等信息的非打印符)。在拷贝任何非文本文
web学习笔记
刘群智的博客
07-27 1万+
常用属性............................................................................................ 1 Html基础........................................................................................... 3 ...
Java面试所需的知识
Tona_ZM的博客
11-15 2810
目录 1. 计算机网络 (1)网络7层架构 (2)TCP/IP原理 (3)HTTP原理 (4)加密算法 2. 数据结构 3. 算法 (1) Java算法 (2)海量数据处理 4. 操作系统 5. MySQL数据库 1、事务 2、数据库结构和锁 3、索引 4、情景题、优化题 5、琐碎知识 6、视图 7、存储过程和触发器 8、约束 6. Redis数据库...
SpringBoot+Vue3项目跨域配置及Set-Cookie:SameSite=Lax 问题
最新发布
m0_68516464的博客
03-11 666
Set-Cookie:SameSite=Lax 问题,跨域配置
chrome session丢失_一文彻底搞懂Cookie、Session、Token到底是什么
weixin_39950470的博客
11-20 382
欢迎关注专栏《Java架构筑基》——专注于Java技术的研究与分享!Java架构筑基Java架构筑基——专注于Java技术的研究与分享!后续文章将首发此专栏!欢迎各位Java工程师朋友投稿和关注一、Cookie洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛:马冬梅啊。 大爷:马什么没? 夏洛:行,大爷你先凉快着吧。在了解这三个概念之前我们先要了解...
httpCookie与Cookie安全
weixin_34378969的博客
09-22 476
Web 应用程序使用的 Cookie 个人认为这里设置的cookie与访问cookie的安全性关联大一点,配置节如下 &lt;httpCookies domain="String" httpOnlyCookies="true|false" requireSSL="true|false" /&gt;    httpOnlyCookies:默认是false,作用是是否禁用浏览...
Cookie 的 SameSite 属性
日积月累的博客
11-22 6701
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
浏览器阻挡cookies_解决WordPress登录提示”Cookies被阻止或者您的浏览器不支持”...
weixin_39717704的博客
12-20 2489
今天上午大鸟登陆wordpress,有错误提示"Cookies被阻止或者您的浏览器不支持。要使用WordPress,您必须启用cookies"。从这个提示看应该是密码没有问题,要不会提示密码错误。然后就是各种百度,浏览器设置里本人的cookies设置的原本就是最低权限也是醉了,改为默认设置依旧不行,看各位大神的解决方法多种多样,各种折腾之后,依旧不行。这个问题大鸟也是懵逼啊,于是先登录电脑中的其他...
Chrome 80 Cookie跨域 Samesite Lax 的错误
热门推荐
郎涯技术
07-30 1万+
本地局域网前后端分离的项目,前端是192.168.123.90,后端是192.168.123.2。今天早上发现用户登录报告登录失败(本质原因是无法设置cookie)。一开始以为后端出问题了,但最近没改用户登录的相关逻辑,后来换火狐、edge 是可以的,并且有些人的 Google 可以正常登录。 有问题的Google浏览器的调试信息报告以下错误: 设置cookie时提示:This set-cookie didn't specify a "SameSite" attribute and was defaulte
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 1万+
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2299
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置跨域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网站的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
Chrome浏览器中接口set-cookie未加SameSite=None导致cookie设置失效,无法登录
onlyliii的博客
08-28 1万+
方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=value; Secure 方法二:使用Chrome浏览器打开 chrome://flags/#same-site-by-default-cookies 把SameSite by default cookies设置为disabled,重启浏览器即可正常使用 参考资料:https://www.zhihu.com/question/373011...
C++解密Chrome80数据库:DPAPI与AES-GCM实战
"C++解密Chrome80版本数据库的方法示例代码" 在Chrome浏览器80版本中,数据库的加密方式发生了变化,使得直接使用DPAPI(Data Protection Application Programming Interface)进行解密变得不再可行。DPAPI是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神秘_博士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值