跨站SameSite

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量100 收藏
点赞数
分类专栏: 杂项 文章标签: java 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pacong/article/details/131018486
版权

在这里插入图片描述
设置Cookie的时候浏览器会加一个属性SameSite
不加会有默认值
在这里插入图片描述

当我们在https//www.faker.com
请求了站外资源
如图中的img,iframe,ajax
此时域cookie肯定是匹配上的因为之前访问过
那么这个cookie到底是发还是不发
如果说没有这个SameSite,在很早的时候是没有这个东西的
那么那个时候呢是肯定要发的
包括iframe包括ajax啊都会发过去
那么这样子一来,就会造成CSRF攻击
后来出现了SameSite
由他来决定这个cookie到底是发,还是不发
这里呢就涉及到两个问题
1、什么叫做跨站
跨站只看域名
域名不一定完全一样
在这里插入图片描述

2、如何显限制的,具体看SameSite的取值在这里插入图片描述

在这里插入图片描述
案例:
把系统的页面嵌入到别的系统去,出现各种问题
那种jsp前后端没分离的项目,依赖cookie判断登录状态,在后端加个过滤器,给首次请求加个header并设置cookie。
主要有两个问题
1,要让页面允许被其他第三方页面嵌入
2,cookie会失效
解决第一个方法就是加请求头。
cookie失效的解决方法就是配置cookie并设置https访问

pacong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域 SameSite secure
龙丨行的博客
10-28 1643
问题描述: 在 chrome 上, pdf预览失败,报错500,可是新开标签页,把请求地址放到地址栏里进行请求,又能获取到相应的数据; 在 火狐浏览器 均能正常显示。 经对比发现 1.页面内报错的请求Content-Type 为 application/json;charset=UTF-8 ;而标签内的能够正常返回的Content-Type为 application/pdf;charset=UTF-8 ; 向后端确认其返回的 Content-Type 为 application/pdf;
JSP Cookie处理
LiLiYuan.的博客
09-02 198
Cookie 是存储在客户机的文本文件,它们保存了大量轨迹信息。在 Servlet 技术基础上,JSP 显然能够提供对 HTTP cookie 的支持。 通常有三个步骤来识别回头客: 服务器脚本发送一系列 cookie 至浏览器。比如名字,年龄,ID 号码等等。 浏览器在本地机中存储这些信息,以备不时之需。 当下一次浏览器发送任何请求至服务器时,它会同时将这些 cookie 信息发送给服务器,然后服务器使用这些信息来识别用户或者干些其它事情。 使用 JSP 设置 cookie 使用 JSP 设置 cooki
后端代码设置Samesite属性
Artisan_w
03-05 2790
Samesite属性设置 目的:防御CSRF Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
django设置samesite
getcomputerstyle的博客
04-01 878
较新版本的chrome会因samesite策略而禁止跨域的cookie 解决方法在项目中的setting.py设置: SESSION_COOKIE_SAMESITE = 'None' SESSION_COOKIE_SECURE = True 网上的方法都不行,看了一下官网的文档,注意要把SESSION_COOKIE_SAMESITE设置为字符串"None" ...
新版chrome跨域问题:cookie之SameSite属性
cnq2328的专栏
03-27 3万+
新版chrome跨域问题:cookie之SameSite属性 原创dominx 最后发布于2020-03-16 16:00:02 阅读数 299 收藏 展开 最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时...
谷歌 samesite 问题以及如何解决使用session登录验证
dcfok的博客
02-18 1869
谷歌samesite的问题下,对登录和验证码以及session的使用进行解决。
浏览器Cookie&SameSite
tonggui77的博客
06-01 1471
目录 Cookie基础 why HTTP 1.x是无状态的协议 what 浏览器在浏览网站时存储在用户计算机上的一小段数据。 被设计为网站记住状态信息或记录用户的浏览活动 记住用户先前在表单字段中输入的信息 when 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) .
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
lift-samesite-cookie-workaround
04-06
SameSite属性允许开发者设置Cookie的行为,防止在跨站请求中发送该Cookie。它有两种主要模式:`Strict`和`Lax`。`Strict`模式下,任何跨站请求都不会携带Cookie,而`Lax`模式则会在非导航的跨站请求(如表单提交)中...
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理
05-17
应该不发送相同的站点该模块随附: 一个小的实用程序函数isSameSiteNoneCompatible ,用于为Same... 如果您管理跨站点Cookie,则需要应用SameSite = None; 安全设置这些cookie。 但是,某些浏览器(包括某些版本的Chr
XSS跨站脚本攻击漏洞修复方法
06-18
对cookies设置SameSite属性,限制第三方请求不能携带cookies,防止CSRF(跨站请求伪造)攻击。 6. **更新和维护**: 及时更新应用程序和服务器软件,修复已知的安全漏洞。 7. **教育用户**: 提高用户对XSS攻击...
advanced-authentication-scenarios:高级身份验证模式(SameSite域应用程序,BFF等)
05-11
此外,`SameSite`属性是另一个关键的安全特性,它可以限制Cookie在跨站请求中的发送,进一步防止CSRF(跨站请求伪造)攻击。`SameSite`有三种设置:`Strict`、`Lax`和`None`,分别对应不同级别的防护策略。 总结来...
iframe调用action接口加载jsp时,session丢失问题
weixin_51172484的博客
04-23 2023
iframe调用action接口加载jsp时,session丢失问题问题来源分析问题解决问题插入链接与图片如何插入一段漂亮的代码片新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 问题来源 最近开发的ssh框架项目,要进行上线,因为项目中设计了登录权限,需要用到session来存储信息,在进行接口联调的时候才得知运营人员是使用iframe进行接口调用的,联调时发现接口可以直接在浏览器地址栏访问并加载出界面数据,在使用iframe调用时数据加载不出来 分析问题 在后台经过分析
Nginx新增SameSite属性的cookie
pocher的博客
06-13 2973
Nginx新增SameSite属性的cookie
Chrome 配置samesite=none方式
m0_67400973的博客
08-01 3385
Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
chrome浏览器解决跨域请求三种方案
热门推荐
Fonlin的博客
08-12 4万+
在chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
cookie SameSite属性
weixin_45444309的博客
04-08 760
cookie之SameSite属性 问题描述: 前端调取后端返回base64编码格式字符串验证码的接口,response返回set-Cookie Set-Cookie: laravel_session=eyJpdiI6IlNKbDdBeU5PdjBVOFJsYnpYSmRLRHc9PSIsInZh bHVlIjoiekdRc2ZMQWpLNlJHTE9MM1RyRnhPUFVnN0RyNmRcLytnK1NFa1p3MElNMWNRODFTampG ZjhGanVxenhOUldjc3oiLCJtYWMiO
java(tomcat)如何设置cookie samesite属性
m0_67393157的博客
09-07 2318
自从Chrome搞了个cookie samesite属性弄了iframe跨域整合站点带来了麻烦,为了恢复cookie不被拦截需要设置cookie samesite属性=None,但发现javax.http.Cookie没有这个接口。增加后发现还是不得,还得设置cookie secure, 这个javax.http.cookie到有api,但随机的JSESSIONID还得通过在tomcat9/conf/web.xml。注:只支持tomcat8/9最新版本。同时开通https访问!
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 470
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
php设置cookie的samesite
06-13
在 PHP 中设置 cookie 的 SameSite 属性,可以通过在 `setcookie()` 函数中添加 `samesite` 参数来实现。示例如下: ``` setcookie('cookie_name', 'cookie_value', time() + 86400, '/', 'example.com', true, true, 'None'); ``` 其中,第七个参数就是 SameSite 属性,这里设置为 "None"。需要注意的是,为了启用跨站使用,SameSite 属性必须设置为 "None",同时还需要设置 `secure` 参数为 `true`,以确保安全性。 如果需要设置多个 cookie 的 SameSite 属性,可以使用以下代码: ``` $options = [ 'expires' => time() + 86400, 'path' => '/', 'domain' => 'example.com', 'secure' => true, 'httponly' => true, 'samesite' => 'None' ]; setcookie('cookie_name1', 'cookie_value1', $options); setcookie('cookie_name2', 'cookie_value2', $options); ``` 在上面的代码中,使用 `$options` 数组来存储所有的 cookie 参数,包括 SameSite 属性。然后,通过 `setcookie()` 函数来设置多个 cookie,其中第三个参数使用 `$options` 数组来传递参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值