记一次Chrome更新带来的登录Cookie问题

最新推荐文章于 2022-03-03 12:24:31 发布
最新推荐文章于 2022-03-03 12:24:31 发布
阅读量534 收藏
点赞数
原文链接:https://zhuanlan.zhihu.com/p/359641832
版权

事件起因

环境

首先介绍下情况:公司的某个管理系统admin.xxx.com,登录接口走的api.xxx.com。

业务系统只支持http协议,所以对应的访问地址为http://admin.xxx.com,登录接口始终是https://api.xxx.com。

这样就是一个跨协议的情况了。

问题

某一天,登录系统后始终提示“你未登录,请先登录B站”,而且并不是所有人有该问题。经过一系列排查,发现唯一的区别只有Chrome浏览器版本不一致(使用部分其他浏览器也是没有问题的)。

结案

从v88升级到v89后,chrome浏览器内置的schemeful-same-site规则默认值改为启用,导致跨协议也被认定为跨站(cross-site),cookies无法传递。

临时解决方案:地址栏打开chrome://flags/#schemeful-same-site,将选项设置为Disabled。

 在Chrome 80版本,SameSite的默认值被改为Lax。

Same-Site的概念

 eTLD+1部分一致就可以称之为same-site。

scheme和eTLD+1部分一致则被称为schemeful same-site

下面是一些schemeful same-site的案例:

Origin AOrigin Bscheme same-site
https://example.com:443https://evil.com:443cross-site:域名不同
https://example.com:443https://login.example.com:443schemeful same-site:允许子域名不同
https://example.com:443http://example.com:443cross-site:协议不同
https://example.com:443https://example.com:80schemeful same-site:允许端口不同
https://example.com:443https://example.com:443schemeful same-site:完全匹配
https://example.com:443https://www.example.comschemeful same-site:允许端口不同

本文主要来自:湖中剑

m0_52106535
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#提取Chrome浏览器Cookie值源码
10-16
同时,由于Chrome更新可能会改变Cookie的存储方式,所以代码可能需要定期更新以适应新的版本。 在实际应用中,这段`C#`源码可以用于自动化测试、数据分析或者爬虫程序,帮助我们更方便地处理基于Cookie的会话管理...
php第一次无法获取cookie问题处理
12-18
在PHP编程中,遇到"php第一次无法获取cookie问题"是一个常见的困惑。这主要涉及到HTTP协议中的Cookie机制以及PHP处理Cookie的方式。以下是对这个问题的详细解释: 1. **Cookie设置与工作原理**: - Cookie是由...
chrome浏览器解决跨域请求SameSite方案
qq_21087199的博客
02-25 1485
chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可 什么是SameSite
chrome里面的about Scheme
xu的blog
03-21 3507
对about Scheme进行处理的地方: D:/project/chrome/src/src/chrome/browser/browser_url_handler.cc的void BrowserURLHandler::InitURLHandlers()函数 // static void BrowserURLHandler::InitURLHandlers() { if (!url_handlers_.empty()) return; // Visual Studio 2010
chrome浏览器升级导致无法手动设置cookie设置无法保存
segegefe的博客
03-03 1038
因为工作中在本地cookie设置值,前几天还正常,今天突然就开始爆红并且无法保存 原因是谷歌浏览器升级到了98版本,移除了SameSite by default cookies 解决方案 在谷歌浏览器地址栏输入 chrome://flags/ ,搜索Partitioned cookies,然后将配置项改成Enabled,重启浏览器即可 ...
chrome更新到80以上版本后,带来的跨域请求cookie丢失问题
qq_26094091的博客
06-03 3692
chrome更新到80以上版本后,带来的跨域请求cookie丢失问题 cookie的SameSite属性默认值由None变为Lax 此时可以尝试显式声明 Cookie 的SameSite属性为None,并设置Secure (不然无效)。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 更多参考:谷歌浏览器 Cookie 的 SameSite 属性 (转) 它可以设置三个值。 Strict Lax None None Chrome 计划将Lax变为默认设置(80版本已实施
解决chrome浏览器高版本/98版本无法在本地手动添加cookie,刷新无法保留,cookie项报红的问题
Czhongyi的博客
02-08 6285
解决chrome浏览器91版本SameSite by default cookies被移除后的解决方案,Chrome中跨域POST请求无法携带Cookie的解决方案 昨天上班之后启动项目,谷歌浏览器自动升级到了98版本,因为之前项目是需要手动添加一个cookie在本地开发调试的,现在就无法手动进行添加cookie了,而且高版本移除了SameSite by default cookies,导致之前的方法不能使用,手动设置之后cookie还报红色,如下 现在只需要打开Chrome中访问地址chrome://f
python3实现读取chrome浏览器cookie
09-21
里给大家分享的是python3读取chrome浏览器的cookie(CryptUnprotectData解密)的代码,主要思路是读取到的cookies被封装成字典,可以直接给requests使用。
Chrome导入导出cookie
10-31
Chrome插件导入导出cookie。 可以删除cookie、添加、刷新、导入、导出、搜索。 插件。目前最新版1.4.9
谷歌浏览器插件:Cookie Hacker Chrome
最新发布
03-11
随便修改删除网站COOKIE的工具,对于调试网站有不错的用途,一直在使用,安装不了的话,请用开发模式,把文 件改成RAR解压,用导入文件夹的方式添加插件。
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 https://textslashplain.com/2019/09/30/same-site-cookies-by-default/ 这个特性会导致: 1、web开发者需要重新考虑某些跨域读取数据功能 2、依靠third-party cookie的广告商(比如)可能行不通了 3、CSRF(跨站请求伪造)web安全漏洞不复存在了 chrome浏览器上查看 如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
浏览器获取cookie失败,浏览器解决方案
我执,是痛苦的根源
04-01 4027
遇到了Cookie的SameSite问题,本地绕过方案: 1.地址栏输入 chrome://flags 搜索SameSite 将 SameSite by default cookies 和 Cookies without SameSite must be secure 设置成 Disabled ,重新 Relaunch 浏览器即可。(Chrome 91 会删除此配置项) 2.同站情况下,本地启动https。 ...
理解“same-site“ 和 “same-origin“
weixsun的博客
04-14 743
Understanding "same-site" and "same-origin" 作者:Eiji Kitamura 译者:weixsun 原文:Understanding "same-site" and "same-origin" "same-site" and "same-origin" are frequently cited but often misunderstood te
Neo4j ETL
秋̶᭄ꦿ攻城狮࿆ྂ
04-08 768
目录 Neo4j ETL Overview Features License Issues & Feedback & Contributions Download & Run Examples of command usage: Neo4j-Desktop JDBC Drivers Introduction Architecture Diagram What it is Plans for the Future Who is it for Open Qu
百度地图引用报错A parser-blocking, cross site (i.e. different eTLD+1) script
热门推荐
Cassie's blog
06-15 3万+
最近公司在搞vue项目,自己独立学习从头开始呀,都是泪。踩了好多坑,正好今天做到一个地方引入百度地图,之前做angular也做过,但是没有遇到这类问题。百度地图引入首先要申请ak哈。这个网上很多东西。自己遇到的是一个警告,看到控制台有东西就不爽,强迫症,看图:反正后面一大串,这个在控制台很难看,虽然不影响效果。解决办法:直接将我们引入的api地址:<script src="http://ap...
同站 和 同源 你理解清楚了么?
azl397985856的专栏
06-30 4420
同站(same-site) 和同源(same-origin) 经常在页面跳转、fetch()请求、cookie、打开弹出窗口、嵌入式资源和 iframe 等场景中被提到,但是有相当一部分...
Cookies的SameSite属性
weixsun的博客
04-19 2121
Chrome 51版本开始,浏览器的 Cookies 新增了一个SameSite属性,用来防止 CSRF 攻击和信息泄漏,更多信息参考chrome Feature: 'SameSite' cookie attribute。 简单回顾什么是CSRF攻击 Cookies往往用来存储用户的身份信息,恶意网站通过设法伪造带有正确Cookies进行 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Coo
chrome如何录上一次文件下载位置
05-19
Chrome浏览器默认会将下载的文件保存在“下载”文件夹中,如果要录上一次文件下载位置,需要进行如下设置: 1. 打开Chrome浏览器,点击右上角的三个点图标,选择“设置”。 2. 在设置页面中,点击“高级”选项。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值