升级Chrome80后Cookie怎么都无法传输?SameSite属性了解一下

最新推荐文章于 2023-10-12 13:59:17 发布
最新推荐文章于 2023-10-12 13:59:17 发布
阅读量1.2k 收藏
点赞数
分类专栏: 网络知识 文章标签: https http chrome cookie SameSite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37828249/article/details/104964211
版权

Cookie内的SameSite属性负责管控跨站请求是否附加cookie的策略,有如下三种配置:

SameSite=Strict:所有跨站请求都不附带cookie。

SameSite=Lax:部分跨站请求可以附带cookie,但是XHR(ajax)、jsonp、表单的post、iframe、img这些常用形式都不会附带cookie,而Chrome80对cookie的默认设置就是SameSite=Lax

SameSite=None:这是Chrome80之前版本的默认设置,表示任何跨站请求都会附带cookie,当然自由的代价就是面临更多危险,比如CSRF攻击,这也是Chrome新版本要更改cookie默认设置的原因。

所以在新版本下,很多cookie都不会被发送了,权宜之计是给cookie重新设置SameSite=None,同时还得添加Secure属性,表明在https下才能传输cookie,因为http不支持SameSite=None。这么一来http算是不好活了。

in_motion
关注
专栏目录
Chrome不携带cookie (Node无法使用session保存登录信息)
JIANGhanha的博客
05-20 1183
chrome是不允许跨域请求携带cookie的,也就是说这里的原因就出在这个请求是跨域请求,我们的携带凭证被chrome拦截了。
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3752
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
chrome浏览器解决跨域请求SameSite方案(cookie没有传)
qq_34231078的博客
06-08 1254
1、在chrome浏览器地址栏输入chrome://flags并回车 2、在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 3、点击右下键ReLaunch重启浏览器即可
chrome浏览器请求未自动发送cookie
blakecheng的博客
04-23 1252
解决 chrome浏览器请求未自动发送cookie的问题 原因 SameSite 属性 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=S
同源、跨域、跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4708
系统性梳理前端同源策略、跨域解决方案CORS、Cookie的安全策略,最后总结不同场景的跨域、跨站问题解决方法。
Cookie 的 SameSite 属性
日积月累的博客
11-22 6728
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
cookie httponly ajax,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_33921444的博客
08-05 595
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
html5中http服务默认端口号,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_29570795的博客
06-27 823
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
Chrome 配置samesite=none方式
m0_67400973的博客
08-01 3450
Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
浏览器不发送Cookie
二豪码字
09-16 1207
前几天写了个小项目,本地跑的好好的,部署到服务器上也正常。最近在服务器上跑,出幺蛾子了。程序突然报错,本应该从httpServletRequest.getSession()中写入和读出的,但是却读不出,结果为null。 ...
一次跨域问题的解决经历(samesite
DATANGguanjunhou的博客
02-06 2808
1. 问题描述 生产和测试环境使用nginx做了反向代理,所以不存在跨域的问题,但是在本地研发环境,由于前后端分离,前端和后端在不同的电脑上开发,存在跨域问题。 前端使用的是vue,后端使用的是springboot。在前后端都做了跨域的设置,前端的设置为: //前端在vue的main文件全局添加一下代码: import axios from 'axios'; axios.defaults.withCredentials=true; 后端的设置为: import org.springframework.co
Chrome 同站策略(SameSite)问题
最新发布
weixin_46607967的博客
10-12 1655
iframe中输入账号密码后登录无法跳转
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
热门推荐
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
新版chrome跨域问题:cookie之SameSite属性
Welcome to Domla's world
03-16 2万+
最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题: 发现问题: 登录界面前后端分离,ajax...
【Google】谷歌浏览器升级无法修改cookies信息
记录开发学习笔记
02-11 1256
最近把谷歌浏览器更新到最新版,开发时发现无法修改cookies信息
CSRF之samesite浅析
杳若的博客
07-21 6262
Burp的学习之samesite
跨站 和 SameSite
huangpb的博客
08-30 453
Cookie 的 SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。之前默认是 None,Chrome80 后默认是 Lax。
由于 Cookie “JSESSIONID”缺少正确的“sameSite属性值,缺少“SameSite”或含有无效值的 Cookie 即将被视作指定为“Lax”,该 Cookie无法发送至第三方上下文中。若您的应用程序依赖这组 Cookie 以在不同上下文中工作,请添加“SameSite=None”属性。若要了解“SameSite属性的更多信息,请参阅:https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite
06-11
这是由于Chrome浏览器和其他一些浏览器更新默认同源策略以后,对Cookie的SameSite属性进行了更严格的限制,以提高安全性。SameSite属性指定了浏览器只有在请求与设置Cookie的网站相同的情况下才会发送Cookie。如果没有正确设置SameSite属性,浏览器将不会发送Cookie到第三方上下文中,这可能导致某些应用程序无法正常工作。 为了解决这个问题,你需要在设置Cookie时显式地设置SameSite属性。如果你需要在第三方上下文中使用Cookie,可以将SameSite属性设置为None。例如,设置“Set-Cookie: JSESSIONID=xxx; SameSite=None; Secure”可以让浏览器在任何上下文中都发送Cookie。 请注意,如果你的网站使用了HTTP而不是HTTPS,设置SameSite=None属性将无效。此外,需要注意的是,如果你使用了旧版本的浏览器,它们可能不支持SameSite属性,因此可能需要考虑其他安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值