前后端分离Cookie sameSite坑 跨域之坑

最新推荐文章于 2024-04-24 16:12:44 发布
最新推荐文章于 2024-04-24 16:12:44 发布
阅读量5.1w 收藏 38
点赞数 11
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37060233/article/details/86595102
版权

在前后端分离解决跨域问题过程中,利用CORS解决跨域问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,中间反反复复,最后要放弃的时候无意中看到一个大神的博客。

本项目是使用spring-session-data-redis实现HTTP Session集中管理原理

 

SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到,
他是防止 CSRF 攻击 具体可看 https://www.cnblogs.com/ziyunfei/p/5637945.html

spring web 最新版默认生成为SameSite=Lax,奇怪的是用spring-session-data-redis 后 cookie新增了 SameSite这个字段,所以不能携带cookie进行跨域post访问,文档上也不表明什么时候开始的,坑的是默认为Lax也不能设置,
遂现在将web版本降级

因为服务端返回给客户端的set-cookie中带有samesite=lax,这就是问题的根源,它表示不能携带cookie进行跨域post访问,然而我们是需要携带cookie的

解决办法:

@Bean 
public CookieSerializer httpSessionIdResolver(){ 
    DefaultCookieSerializer   cookieSerializer = new DefaultCookieSerializer();                                
    cookieSerializer.setCookieName("token"); 
    cookieSerializer.setUseHttpOnlyCookie(false); 
    cookieSerializer.setSameSite(null); 
    return cookieSerializer; 

}

使用的pom依赖

 <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
            <version>2.1.1.RELEASE</version>
 </dependency>

前端在与后台交互时也得做如下的配置(ajax请求)

xhrFields: {
    withCredentials: true
}

它让ajax能够携带cookie请求,后端需要设置

response.setHeader("Access-Control-Allow-Credentials", "true");

允许cookie跨域,这样就大功告成!!!

行走在冬瓜地的西瓜
关注
  • 11
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 24
    评论
新版chrome跨域问题:cookieSameSite属性
cnq2328的专栏
03-27 3万+
新版chrome跨域问题:cookieSameSite属性 原创dominx 最后发布于2020-03-16 16:00:02 阅读数 299 收藏 展开 最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时...
Golang Gin框架如何在Cookie中设置SameSite
枝袅的博客
02-14 2784
http.SetCookie(c.Writer,&http.Cookie{ Name: "token", //你的cookie的名字 Value: token, //cookie值 Path: "/", Domain: "", MaxAge: 604800, Secure: false, HttpOn...
【JavaScript】cookie
最新发布
小秀的博客
04-24 592
cookie不可跨域cookie存储在浏览器里面cookie有数量与大小的限制1、数量在50个左右2、大小在4kb 左右cookie的存储时间非常灵活cookie不光可以服务器设置,客户端也可以设置客户端 document.cookie 可以获取和写入,且只能设置一次(在 http 协议下才可以生效)。set-cookie 服务器设置。参数 name: cookie 的名字(唯一性);value: cookie 的值;domain: cookie 在哪个域名下是有效的;
Springboot应用中设置CookieSameSite属性,跨域支持
seapeak007的博客
02-07 9914
转自:Springboot应用中设置CookieSameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
dajngo设置cookiesamesite属性
李波的blog,一名喜欢编程和分享技术的研究僧~
05-07 1069
前端发送axios请求时我们django给予响应时若想携带cookie,必须要设置跨域,否则会杯浏览器拦截。 新版本的Chrome浏览器会有一个SameSite属性,他有三个值:Strict、Lax、none。 Strict较为严格,不允许跨域携带cookie,Lax稍微宽松允许一部分跨域cookie,none则直接允许跨域cookie。 这里我们要设置none才行,默认就是Lax。但是设置none时还需要告诉浏览器我这个cookie是安全的,不然也会被拦截的。 所以最终django设置: 要在settin
新版本chrome浏览器带来的跨域请求cookie丢失问题
Javamine的博客
03-30 1032
参考:https://www.jianshu.com/p/aa80ca97f877 解决办法: 谷歌浏览器里面:chrome://flags/ 把SameSite by default cookies这个参数设置成disabled
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 后端 springboot2.0 ip地址:192.168.1.217 主要开发后端。 问题: ...后续请求取出的用户都为null。 解决过程: ...后台添加过滤器,因为前后端分离,不可能每个方
前后端分离跨域问题
01-07
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, ...
vue+springboot前后端分离实现单点登录跨域问题解决方法
08-28
Vue+SpringBoot前后端分离实现单点登录跨域问题解决方法 单点登录概述 单点登录(Single Sign-On,SSO)是指用户只需登录一次,即可访问所有相关的应用系统,而不需要在每个系统中重复登录。这种机制可以提高用户...
Springboot前后端分离项目配置跨域实现过程解析
08-18
Springboot前后端分离项目配置跨域实现过程解析 在本文中,我们将详细介绍Springboot前后端分离项目配置跨域实现过程。跨域问题是指在不同的域名、协议或端口之间的资源共享问题。在前后端分离的项目中,前端和后端...
vue django samesite proxy 403
weixin_50833946的博客
03-24 349
target: 'http://127.0.0.1:8180/project',//代理地址,这里设置的地址会代替axios中设置的baseURL。2 vue使用proxy代理,转发axios请求到django后端,django服务报403 Forbidden.changeOrigin: true,// 如果接口跨域,需要进行这个参数配置。1 vue前端,使用axios直接访问 django后端, chrome报samesite错误。搜索了很久才找到解决办法,备份下,以备需要的人借鉴。
set-cookie中的SameSite属性
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie中的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
php 解决Chrome CookieSameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5276
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
SpringBoot的Cookie sameSite之坑
weixin_38296425的博客
12-30 2761
CSDN上很多文章给出了解决Cookie sameSite跨域之坑的解决办法,但是都忽略了一个问题,没有给出相关的依赖,我也是费了不少劲终于找到了解决办法,在这里记录下来。 例如下面的代码: @Configuration public class TomatConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer =
SameSite Cookie,防止 CSRF 攻击
weixin_33851429的博客
07-12 891
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
CookieSameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
解决跨域CookieSameSite问题(使用Nginx)
tmyth的专栏
02-16 3万+
#简介 Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
前后端分离session跨域
09-11
前后端分离的架构中,由于前端和后端分别运行在不同的域中,会导致跨域问题。而session是一种服务器端存储用户状态的机制,通常使用cookie来实现。解决跨域问题涉及到前端和后端的配合。 下面是一种常见的解决方案: 1. 后端配置CORS(跨域资源共享):在后端服务器上,允许前端所在的域名访问后端接口。通过设置相应的响应头信息,如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`等来实现。 2. 前端发送请求时添加凭证信息:在前端发送跨域请求时,设置`withCredentials`属性为`true`,同时确保后端接口也允许带有凭证信息(cookie)的请求。 3. 后端配置session持久化方式:由于前后端分离后,无法直接使用原生的session机制。可以将session信息保存在数据库中,或者使用其他形式的状态管理机制(如token认证)。 具体操作过程可能因后端语言和框架而有所不同,请根据自己的实际情况进行相应的配置和实现。另外,还可以参考一些第三方库或者框架提供的解决方案,如Spring Boot中的`@CrossOrigin`注解、Express框架中的cors插件等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值