本文介绍了在Chrome 80版本后由于SameSite策略改变导致的跨域Cookie丢失问题,详细分析了问题原因,并提供了解决方案。通过设置HttpCookie的Path属性来设置SameSite为None,从而修复问题。但这种方式会导致Secure属性默认为True,限制Cookie必须通过HTTPS发送。
前言
公司的一个项目这段时间突然出现了一点问题,由于这个项目已经有一段时间没去更改过,所以一开始十分疑惑,正常运行的项目为什么啥都没改过到最近才突然出现问题,经过了一系列排查,最后锁定在跨域cookie这个点上,接下来我简单讲述下原因,解决方法以及存在的问题。
一、为啥以前跨域cookie可用,现在反而不行?
之所以会这样,是由于浏览器策略导致的,说到浏览器策略就不得不提浏览器Cookie的SameSite属性,这个就是导致跨域cookie丢失的罪魁祸首,但是为什么现在才有问题,以前没有,难道这个属性是最近才新加上去的吗?答案是否定的,虽然这个属性不是最近才增加上去的,但他的默认值在chrome 80版本后发生了改变,由之前的None改为Lax,这也是项目突然异常的原因,而且由于目前比较多的浏览器都是以谷歌内核为主,例如QQ浏,360,edge等浏览器,所以大部分情况下都会有问题,火狐除外,最新版本的火狐并不会有这样的情况。
二、如何确定由于跨域cookie问题导致
通过浏览器中的开发者工具来查看对应的响应cookie,是否出现以下截图的提示,是则基本可以确认是由于这种原因导致
三、怎么解决
既然定位到了Cookie中的SameSite属性,那是不是将SameSite设为None就可以解决问题,思路上确实是对的,但是我应该通过什么方式去设置这个属性,项目使用的语言是C#,一般是通过HttpCookie类来操作cookie,按照目前项目的.net framework版本,只提供了Name,Value,HttpOnly,Expires,Path,Secure等属性,我无法从中找到设置SameSite的属性,通过查找,终于找到了方法,就是通过设置属性Path来达到设置SameSite的目的,代码如下
HttpCookie cookie = new HttpCookie("name");
cookie.Value = "lee";
cookie.Path = "/; SameSite=None; Secure";
HttpContext.Current.Response.Cookies.Add(cookie);
至此,终于解决了跨域cookie丢失的问题,项目也正常运作了起来。
四、存在的问题
通过以上方式,虽然解决了跨域cookie丢失的问题,但是我发现当你将SameSite设为None后,在浏览器那边Secure的值会默认为True,也就意味着Cookie只能通过Https协议发送,不然就无效,我也试过将Secure属性设置为False,但是这样设置的结果就会导致SameSite=None失效,所以这也是这个做法存在的局限性。
扫一扫
4956
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
