新版本chrome浏览器带来的跨域请求cookie丢失问题

最新推荐文章于 2024-07-23 16:43:15 发布
最新推荐文章于 2024-07-23 16:43:15 发布
阅读量3w 收藏 28
点赞数 9
分类专栏: php http session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37788558/article/details/104484888
版权
php 同时被 3 个专栏收录
94 篇文章 2 订阅
订阅专栏
http
7 篇文章 0 订阅
订阅专栏
session
2 篇文章 0 订阅
订阅专栏

A cookie associated with a cross-site resource at http://weibo.com/ was set without the SameSite attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies

今天线上业务的跨域接口请求莫名的出现问题,经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,SameSite属性默认值由None变为Lax,因此可能会对线上业务带来问题特此与大家同步一下今天的发现,存在跨域接口调用业务的小伙伴可能需要关注。

在这里插入图片描述
chrome升级到80版本之后(准确的说是78版本之后,灰度测试,如上图,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://github.com/google/google-api-javascript-client/issues/561

在Lax模式下,以下类型请求将受影响
在这里插入图片描述
此时可以尝试显式声明 Cookie 的SameSite属性为None,并设置Secure (不然无效)。

更多关于cookie SmaeSite属性的介绍可参考: https://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

另外,新版本chrome的devtool中的提示及指引文档如下:

以上问题由浏览器版本升级导致,很突然,如果线上遇到了,短时间不易定位问题,不容易往浏览器限制这方面想,今天也是花了一定时间才确定问题,特此整理下,希望帮助大家快速处理同类问题,随着陆续越来越多的用户浏览器版本升级上来,问题会逐渐暴露,最好能提前做好准备。

扩展阅读:SameSite 属性是什么

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

  • Strict
  • Lax
  • None
Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

设置了StrictLax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

None

Chrome 计划将Lax变为默认设置(80版本已实施)。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

如对您有帮助,不妨点一波关注~

小白旗
关注
专栏目录
解决Iframe嵌入帆软BI系统后,Chrome升级后跨域出现登录界面,Cookie写入不成功。
帆软爱好者的专栏
09-30 4280
1 先看效果: cookie写入不成功,是因为google chrome的高版本为了防止CSRF攻击,默认将Cookie的SameSite设置为lax了,导致cookie跨域的时候就写不成功了。如果我们在嵌入页面的url上加上fine_auth_token参数值会怎样呢?看下图: 从上面看出当请求我们的BI页面时,Set-Cookie那里有个黄色的感叹号,表示cookie写入失败了,那一行小字说的是 SameSite=Lax了,所以跨域就写不了Cookie了。 为了解决这个问.
SpringMVC中的跨域请求配置解决方案
程序员光剑
08-05 1551
跨域(Cross-origin resource sharing)是由一个资源从一个域名访问另一个不同的域名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同域向当前域发送HTTP请求。跨域请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止跨域请求,所以开发者需要在实际项目中做一些额外的设置来允许跨域请求。以下就详细介绍一下Spring MVC对跨域请求的支持及其配置方法。
关闭Chorme浏览器 A cookie associated with a cross-site resource at ...警告
Tian丶Yuting
10-06 4006
A cookie associated with a cross-site resource at … 这个是由于cookie跨域导致的,但不影响正常使用,只是会有淡黄色的警告。 如何去掉? 打开链接:跳转 搜索 Cookie deprecation messages 选择Disabled,此时浏览器下方会出现一个小按钮喊你重启浏览器,点它重启后就解决了! ...
谷歌浏览器解决跨域问题及本地环境循环跳转登录页问题 --disable-web-security --user-data-dir
最新发布
weixin_64753917的博客
07-23 572
方法一:1.关闭所有的谷歌浏览器的页面2.打开谷歌快捷方式的属性→快捷方式→目标内容里面添加--disable-web-security --user-data-dir,前面带空格与之前的内容分开3.重启!!!Chrome 不要升级到最新版本,最新版本上述命令会失效如果上述方案无效,请使用下面的方法方法二:1.在本地C盘新建文件夹名称如MyChromeDevUserData。2.将谷歌浏览器快捷图标复制到文件夹内。
前台关于跨域的警告A cookie associated with a cross-site resource at .........,代理服务器
qq_43248623的博客
06-07 2021
前台关于跨域的警告A cookie associated with a cross-site resource at …,代理服务器 A cookie associated with a cross-site resource at … 解决该警告的方法: 在配置文件中添加配置如下: "proxy": { "/api": { "target": "http://112.125.26.100:8000/", "changeOrigin": true, "pathRewrite":
关于renren-fast跨域部分
NerfmePlz的博客
11-09 1154
浏览器——》发送预检请求给服务如localhost:8000——服务检测到跨域请求,根据如上代码的配置处理请求并响应——》浏览器收到服务允许跨域,发送真正请求。浏览器——》发送预检请求到网关——》网关配置跨域,filter处理请求头,增加允许跨域部分——》服务发现跨域,处理允许跨域部分——》返回浏览器,renren-fast在io.renren.config.CorsConfig中配置了跨域请求的处理配置类。浏览器——》发送预检请求到网关——》网关没有配置跨域,不允许跨域请求——》服务器不发送真正请求。
谷歌浏览器跨域丢失Cookie问题
YangzaiLeHeHe的博客
10-23 4652
文章目录谷歌浏览器跨域丢失Cookie问题一、问题背景交代二、分析2.1、整体调用链路2.2、复现2.3、分析三、原因四、解决4.1、治标4.2、治本 谷歌浏览器跨域丢失Cookie问题 一、问题背景交代 公司内部系统A页面内嵌系统B的界面。当在A系统的界面中点击B系统图标跳转时此时跨域,导致跳转后的界面空白,A系统会向B系统发送一些请求参数,而B系统没有拿到这些参数,导致重定向后的界面空白。 二、分析 2.1、整体调用链路 2.2、复现 这个问题Chrome浏览器【我本地的】100%复现,后来切换到了
Chrome跨域访问网络请求Cookies丢失的解决办法
专注成就非凡
10-16 2578
对于需要跨域访问(包括局域网下不同IP的访问)时,若不取消Chrome的强制限制,则会无法正常访问。若两个域名使用不同的权限认证时,保存在Cookie中的身份信息会丢失
Chrome 浏览器 Cookie 跨域共享与Chrome升级91版本问题
烫一壶女儿红
06-25 1677
Chrome 51版本后91版本前 Chrome 51 版本开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite 可以设置三个值(Strict、Lax、None)。 详见阮一峰的Cookie 的 SameSite 属性 由此可见,在开发过程中运行本地项目调试接口,如果某些接口使用cookie作为校验,会涉及到cookie跨域丢失问题。对于前端来说,调试项目时想要实现浏览器跨域共享cookie,必须设置浏览器的实验属性。 在Chrome 地址
html的页面怎样直接跨域访问,【HTML】iframe跨域访问问题
weixin_32823993的博客
06-22 1830
概述本地同一浏览器访问本地HTML文件和访问服务器端HTML文件,本地Iframe没有自适应高度,而服务器端的Ifrane自适应了高度。1.问题重现:Chrome 版本 41.0.2272.101 (64-bit)OS:Win8.1Chrome访问服务器端HTML文件呈现的结果Chrome访问本地HTML文件呈现的结果本地访问的HTML文件Iframe没有根据Iframe里面的页面类容自适应高度2...
用renren-fast开发项目时突然报跨域错误
qq_54441756的博客
08-17 203
阿三大苏打
关闭 A cookie associated with a cross-site resource at ...浏览器警告
热门推荐
Minyoung 的博客
05-19 1万+
A cookie associated with a cross-site resource at … 这个是由于cookie跨域导致的,但不影响正常使用,淡黄色的警告~也让人不爽。 干掉! Chrome浏览器地址栏输入chrome://flags/,搜索 Cookie deprecation messages ,选择Disabled,此时浏览器下方会出现一个小按钮喊你重启浏览器,点它! 重启后一片清爽! ...
renren-fast 跨域限制-同源策略
weixin_52340910的博客
06-25 331
renren-fast 跨域限制-同源策略
微服务跨域问题踩坑(使用了renren-fast)
qq_54522796的博客
05-08 932
微服务CORS跨域问题,项目使用了renren-fast,踩坑避雷!
renren-fast跨域错误
FengYi1108的博客
01-20 1125
用renren-fast开发项目时突然报跨域错误 此时可以看到账号、密码和验证码都没问题,但是点击登录没有反应,看控制台发现了是报了跨域错误 搜索之后看到一位大神的答案,解决了我的问题,附上解决办法 下附大佬原文: 版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/zd1007129657/article/details/82698854 ...
解决A cookie associated with a cross-site resource at.xxx was set without the `SameSite`
跃然实验室
08-16 1万+
解决A cookie associated with a cross-site resource at.xxx was set without the `SameSite` 谷歌浏览器地址栏输入chrome://flags/,搜索 Cookie deprecation messages ,禁用,重启浏览器
HTTP cookie
雜貨鋪
03-05 3012
原文地址:https://en.wikipedia.org/wiki/HTTP_cookie   HTTP cookie From Wikipedia, the free encyclopedia Jump to: navigation, search HTTP PersistenceCompressionHTTPS
renren-security的跨域解决
weixin_51435899的博客
04-11 156
chrome浏览器108版本以上跨域问题
09-17
Chrome浏览器从版本108开始,对于跨域问题做出了一些改变。在此之前,浏览器是严格限制跨域请求的,但是自从Chrome 108版本之后,浏览器默认支持通过一些新的方法来解决跨域问题。 首先,Chrome 108引入了新的CORS(跨域资源共享)规范,它通过在服务器的响应头中添加一些额外的字段来指示浏览器是否允许跨域请求。如果服务器返回的响应中包含了'Access-Control-Allow-Origin'字段且值为请求的域名,则浏览器将允许该跨域请求。这样,网页开发者可以通过在服务器端设置正确的响应头来解决跨域问题。 其次,Chrome 108还引入了一种新的跨域请求方式,即Fetch API。Fetch API是一种用于代替传统的XMLHttpRequest对象的新的网络请求API,它默认支持跨域请求,并且提供了一系列的方法和选项来处理跨域问题。通过使用Fetch API,网页开发者可以更灵活地发送和处理跨域请求。 此外,Chrome 108还提供了一些其他的跨域解决方案。例如,开发者可以在服务器端设置CORS策略,通过细粒度的配置来控制哪些域名可以进行跨域请求。另外,Chrome 108也支持通过在请求中添加'Access-Control-Allow-Credentials'字段来允许跨域请求携带认证信息。 综上所述,Chrome浏览器108版本以上对跨域问题做出了一些改进和优化。通过使用CORS规范、Fetch API以及其他解决方案,网页开发者可以更轻松地处理跨域请求,并提供更好的用户体验。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小白旗

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值