跨域访问时SameSite设置级别导致的SetCookie失败的问题分析及解决

最新推荐文章于 2024-07-02 17:57:28 发布
最新推荐文章于 2024-07-02 17:57:28 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: web 文章标签: 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1049545450/article/details/133990693
版权

问题描述及原因分析

在对接layui-vue-admin的时候,登录后,访问接口居然返回的是未授权,通过排查发现请求响应的setCookie居然有个警告“此Set-Cookie标头未指定"SameSite’ '属性,默认为SameSite= Lax,",并且已被屏蔽,因为它来自一个跨网站响应, 而该响应并不是对顶级导航操作的响应。此Set-Cookie必须在设置时指定“SameSite= None”,才能跨网站使用。”,正因为这个警告,导致浏览器缓存cookie失败,浏览器与服务端处于“无状态”的请求方式。
在这里插入图片描述

问题解决

既然知道问题所在,解决就按这个方向走就好,配置如下即可:

server.servlet.session.cookie.http-only=false
server.servlet.session.cookie.same-site=none
server.servlet.session.cookie.secure=true

smaeSite有三种取值
在这里插入图片描述

小小的人儿居然已存在
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端分离部署情况下,cookie失效问题之chrome浏览器SameSite问题
z974251478的博客
04-20 2726
项目基于前后端分离部署,其中会涉及跨域及会话问题,项目对跨域使用cors解决,对会话不一致问题使用了redis解决。这次遇到的问题是基于chrome浏览器SameSite出现的cookie失效。
Chrome浏览器中接口set-cookie未加SameSite=None导致cookie设置失效,无法登录
onlyliii的博客
08-28 1万+
方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=value; Secure 方法二:使用Chrome浏览器打开 chrome://flags/#same-site-by-default-cookies 把SameSite by default cookies设置为disabled,重启浏览器即可正常使用 参考资料:https://www.zhihu.com/question/373011...
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造
qq_43613949的博客
06-19 645
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造@
cookie的SameSite属性不正确的问题
if_Echo_else的博客
05-22 709
根据上述,总共三种操作方式,汇整如下:最简单:设置chrom为禁用samesiteDJango版本低于2.1:引入库django-cookie-samesite来处理Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None。
谷歌浏览器 setCookie失败的原因分析(samesite
qwtt24的博客
08-04 7328
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性 大致在这里就概况下 1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面: Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 2,那么Sam
SpringBoot解决“此Set-Cookie标头未指定‘SameSite属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
最新发布
m0_71905098的博客
07-02 462
注意:这两个配置必须同添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问候出现跨域问题。这是config里面配置的路径。
【vue】跨域警告“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
九琼的博客
04-01 6027
Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自跨站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现跨站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用
weixin_34409822的博客
06-01 1022
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录 Antiforgery Token 总是验证失败。 日志中记录的对应错误是 Antiforgery token validation failed. The required antiforgery cookie "xxx.Antiforgery" is not present. 今天在...
具有不安全、不正确或缺少SameSite属性Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax
神zhi殇的博客
03-06 1589
它返回一个设置Cookie的响应,而且该Cookie未指定SameSite属性,浏览器就会发出这个警告。本地登录某个项目系统的候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie导致401登录系统失败。这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。: SameSite属性Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。
Ajax跨域访问Cookie丢失问题解决方法
12-09
ajax跨域访问,可以使用jsonp方法或设置Access-Control-Allow-Origin实现,关于设置Access-Control-Allow-Origin实现跨域访问可以参考之前我写的文章《ajax 设置Access-Control-Allow-Origin实现跨域访问》 ...
PHP setcookie设置Cookie用法(及设置无效的问题)
10-28
用Session比较多,很少用到Cookie,这次是为了解决Discuz!自动同步登陆不得不用Cookie
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 ...搜索问题,发现跨域,服务器响应的setCookie浏览器无法保存,而且就算保存了域名不同也不能携带。 第一步: 后台添加过滤器,因为前后端分离,不可能每个方
P3P Header解决Cookie跨域问题
09-05
**P3P Header 解决Cookie跨域问题** 在互联网中,由于同源策略的限制,JavaScript通常无法在不同域名之间共享资源,包括Cookie。然而,有我们可能需要在跨域场景下传递或读取Cookie,这P3P(Platform for ...
Cookie 跨域解决方案(顶级域名和子级域名之间的Cookie共享、修改、删除)
专注基础架构领域
01-15 3514
最近项目中刚好涉及到了主域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,域名的话就拿顶级域名和二级域名为例,其他的场景都是类似。 一、设置COOKIE 1、顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成:如yangbai.com能设置domain为yangbai.com或者www.yangbai.com,但不能设置domain为login.yangbai.com,这样cookie不会生成。 以下面的代码为例:
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 1727
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
Cookie中SameSite问题解决办法
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全性
Set-Cookie:SameSite=Lax 问题
new_baibai的博客
03-02 1104
cookie 跨域 Set-Cookie:SameSite=Lax
php设置cookie怎么设置'SameSite=None;Secure;'
06-13
在PHP中设置cookie需要使用setcookie()函数,并在其中的参数中设置'SameSite=None;Secure;'来设置SameSite属性为None,同启用Secure属性。示例如下: ``` setcookie('cookie_name', 'cookie_value', [ 'expires' => time() + 3600, 'path' => '/', 'domain' => 'example.com', 'secure' => true, 'httponly' => true, 'samesite' => 'None' ]); ``` 其中,expires参数设置cookie的过期间;path参数设置cookie的路径;domain参数设置cookie的域名;secure参数设置是否启用Secure属性,即是否通过https协议传输;httponly参数设置是否启用httponly属性,即cookie不能通过JavaScript来访问;samesite参数设置SameSite属性为None,表示允许跨站点访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值