谷歌浏览器升级80以上版本SameSite导致跨域请求失败

最新推荐文章于 2022-03-28 14:49:32 发布
最新推荐文章于 2022-03-28 14:49:32 发布
阅读量1k 收藏 1
点赞数
分类专栏: 谷歌浏览器 文章标签: node.js http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46542378/article/details/120549730
版权

一、起因

项目参加GDPR项目,需要暂时支持双协议http/https。一共出现两个问题,现在记录一下。

  • 1.发现A应用调用内嵌的B应用的服务,一直重定向。
  • 2.解决重定向之后,发现需要重新登录B应用后才可以访问内嵌的B应用服务。

二、解决问题

  • 1.第一个问题是由于A应用还是HTTP请求,但是B应用是HTTPS。导致一直302重定向
  • 2.第二个问题排查时间比较就,因为之前一直都是正常访问。
  •  2.1、排查过程中发现,A页面中调用B页面会存在重新登录B应用的情形

  •  2.2、需要在另外一个窗口手动访问B应用,才可以正常调用A页面的内嵌B服务。

  •  2.3、地址栏输入:chrome://flags/  

  •  2.4、找到SameSite by default cookies和Cookies without SameSitemust be secure将上面两项设置为 Disable

三、思考过程

  • 当时考虑到是session不能共享,B服务不能使用A服务的session,导致需要B服务重新登录
  • 查找资料发现,谷歌在2020.2.18升级80版本服务,为了解决CSRF漏洞,新增了Cookies default to SameSite=Lax新特性

四、什么是SameSite

以下内容引自随风丶逆风

SameSite是Cookie中的一个属性,它用来标明这个 cookie 是个“同站 cookie”,“同站 cookie” 只能作为第
一方cookie,不能作为第三方cookie,因此可以限制第三方Cookie,解决CSRF的问题。不知道CSRF的看着这个。
早在Chrome 51中就引入了这一属性,但是不会默认设置,所以相安无事。

第三方Cookie:由当前a.com页面发起的请求的 URL 不一定也是 a.com 上的,可能有 b.com 的,也可能有 c.
com 的。我们把发送给 a.com 上的请求叫做第一方请求(first-party request),发送给 b.com 和 c.com 等的
请求叫做第三方请求(third-party request),第三方请求和第一方请求一样,都会带上各自域名下的 cookie
,所以就有了第一方cookie(first-party cookie)和第三方cookie(third-party cookie)的区别。上面提到的
 CSRF 攻击,就是利用了第三方 cookie可以携带发送的特点 。

SameSite总共有三个值:Strict、Lax、None。以下内容引自阮一峰博客

“同站cookie”不是根据同源策略判断,而是PSL(公共后缀列表),子域名可以访问父域名cookie,但父域名无法访问子域名cookie。

Strict
Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如像本人当前遇到的现象,cookie带不过,等于一直没有登录状态,就会回到登录页。

Lax
Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Chrome 80之后默认设置为该值。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;
导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。
设置了Strict或Lax以后,基本就杜绝了CSRF攻击。当然,前提是用户浏览器支持 SameSite 属性。

None
浏览器会在同站请求、跨站请求下继续发送cookies,不区分大小写。网站可以选择显式关闭 SameSite 属性,将其设为 None ,同时必须设置 Secure 属性(表示Cookie 只能通过 HTTPS 协议发送,HTTP协议不会发送),否则无效。
下面为无效响应头:
Set-Cookie: widget_session=abc123; SameSite=None

根据谷歌文档Reject insecure SameSite=None cookies中所述,85版本后默认启用“拒绝非安全的
samesite=none的cookie”这一特性,要同时显式声明secure=true,这个cookie才能跨域携带。

下面为有效响应头:

Set-Cookie: widget_session=abc123; SameSite=None; Secure 
Set-Cookie: widget_session=abc123; SameSite=None; Secure=true
无忧无虑小码农
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新版本chrome浏览器出现的问题及解决方案
猿小白的博客
03-06 2967
最近将chrome浏览器更新到了最新版本 ,在个别网站上出现了访问问题。
cross-request 3.1 YApi 请求 谷歌浏览器
10-10
cross-request 3.1 YApi 请求 谷歌浏览器
谷歌解决越问题
岁月如歌去,十年弹指间
12-02 266
"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="c:\MyChromeDevUserData" c盘根目录创建一个MyChromeDevUserData文件夹 下一步 属性 目标 修改 "C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security ...
chrome不同版本出现的问题及解决方案
Jermyo的博客
03-28 2561
谷歌浏览器不同版本CORS问题
ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用
weixin_34409822的博客
06-01 1018
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录时 Antiforgery Token 总是验证失败。 日志中记录的对应错误是 Antiforgery token validation failed. The required antiforgery cookie "xxx.Antiforgery" is not present. 今天在...
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
关于谷歌Chrom 80版本升级后,Samesite必须有值影响项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 ...
Allow-Control-Allow-Origin-2022-11-23 谷歌浏览器组件
07-11
谷歌浏览器组件,Allow-Control-Allow-Origin-2022-11-23 大家共享!
配置设备打印时,谷歌浏览器配置
03-11
本文将详细介绍如何在不同版本谷歌浏览器中进行配置。 首先,我们来看如何查看浏览器版本号。在Chrome浏览器中,点击右上角的三个点,选择“关于 Chrome”,这里会显示浏览器的当前版本信息,这对于了解...
基于VUE移动音乐WEBAPP请求失败的解决方法
08-28
主要介绍了基于VUE移动音乐WEBAPP请求失败的解决方法,需要的朋友可以参考下
解决chrome 越问题
me_ting的博客
09-17 984
起初和同事使用同样方法,同事的电脑可以,我的就不可以。最后的办法: 1、下载最新的浏览器 2、重新创建一个快捷方式,重命名为 Chrome-Debug  3、鼠标移入到快捷方式上,右击鼠标,点击属性,在目标路径上添加:--user-data-dir="c:\ChromeDebug" --test-type --disable-web-security  注意:原路径和添加的之间 需要有一个空...
chrome 浏览器升级后接口无法正常访问
weixin_40650646的博客
10-21 1842
问题:chrome 浏览器升级后接口无法正常访问 现象:接口请求不成功 解决办法: 地址览输入chrome://flags ,找到 Block insecure private network request ,设置Default为 Disabled后, Relaunch浏览器即可 ...
解决Google浏览器和IE浏览器的问题
阿亮
12-24 5535
本人在做前端时遇到IE浏览器和Google浏览器验证码显示不出来的情况后来百度后发现经过以下步骤可以解决该问题 IE:对Internet 安全选项进行自定义级别 ajax请求数据在谷歌火狐我本地IE11都是没问题的。 让测试就发现问题了,IE8下请求不到数据,然后我查看一下自己写的js看有没有不兼容问题,可是都没有啊,为什么就请求不到呢。 我把ajax的error打印出
Chrome谷歌浏览器请求失效解决方案
qq_35641923的博客
06-03 8901
失效原因:Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
记一次浏览器SameSite策略更新,导致接口 Failed to load response data 的解决过程
liyoro的专栏
01-22 4631
浏览器SameSite策略更新,会导致前端不发送Cookie,造成接口不返回数据,也就是Failed to load response data问题
谷歌浏览器 setCookie失败的原因分析(samesite
qwtt24的博客
08-04 7262
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性 大致在这里就概况下 1,SameSite谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面: Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 2,那么Sam
谷歌浏览器谷歌浏览器SameSite
Meditation_Crazy
04-12 854
前言 转载自:https://blog.csdn.net/opiqi/article/details/107955465
关于Chrome浏览器升级到80版本后受影响的场景以及解决方案
子涵先生
08-03 4924
背景 Google 将在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为SameSite=None(https://www.chromestat
谷歌浏览器80以后版本至90版本以及Firefox浏览器89以下版本开启FTP支持
liuweiyizhu的博客
03-05 8064
之前,谷歌发文表示将从Chrome 80.0版本开始,停止对FTP支持。谷歌作出这一决定已经由来已久。谷歌认为,FTP因为不支持加密所以存在的安全问题导致FTP更容易遭受攻击。谷歌Chrome项目工程师宣布了这一新的变化,另外,使用率低也是Chrome移除FTP功能的另一个原因。但是FTP使用不在少数,使用浏览器浏览FTP站点,还是不可少,所以下面教大家开启ftp支持。 一:检查谷歌浏览器版本 谷歌浏览器地址栏输入:chrome://version,显示版本 二:进入实验室页面 谷歌浏览器地址栏输
谷歌浏览器插件 请求
最新发布
07-22
要在谷歌浏览器插件中进行请求,你可以使用以下方法: 1. 在插件的 `manifest.json` 文件中添加权限声明: ```json { "manifest_version": 2, "name": "My Extension", "version": "1.0", "permissions": ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值