同源策略的历史及对应的解决方案
当页面内发起请求时,会默认携带该域名下的cookie。
而cookie同源策略是指:除非当前域名和请求域名是同源,才会默认携带cookie。
这就导致,localhost直接请求测试环境的接口,比如 http://api.baidu.com,此时不会携带 cookie,从而导致登录失效的问题。
这一策略从chrome 80开始存在,而chrome 91升级,chrome 94再升级。
chrome 各个版本如何禁用同源cookie策略:
-
chrome < 91,可以通过在chrome 浏览器中打开chrome://flags/,设置 SameSiteByDefaultCookie 为 disable 即可。
-
91 <= chrome < 94 ,删除了该配置,需要手动增加启动参数 --args --disable-features=SameSiteByDefaultCookies。可以命令行启动或者在快捷方式上加这个参数
-
chrome 94 开始删除了启动参数的支持,那么该怎么解决呢?
三种解决方案
1、前后端代理成同一个域名
ngnix、whistle、fiddler、mitmproxy等转发工具,可以选择转发域名,转发接口,原理上均可行
2、前后端遵循Samesite=None,以实现允许跨站cookie
chrome允许跨站cookie携带,需要满足两个条件:
- cookie需要标记为 SameSite=None; Secure
- 前网站和后台服务协议都为https
所以本地需要改成https://,同时服务端配合将登录的返回头set-cookie上增加 SameSite=None; Secure
3、使用下面的 chrome 扩展
https://github.com/chirpmonster/chrome-cookie-extence
注意:使用这个扩展,要求登录请求的 set-cookie 必须要能成功,浏览器要求跨站的时候,set-cookie必须带 SameSite=None; Secure (不要求https) 。
如果没有这个标记,set-cookie 会失败,提示 This Set-Cookie didn’t specify a “SameSite” attribute, was defaulted to “SameSite=Lax”, and was blocked because it came from a cross-site response which was not the response to a top-level navigation.