新版本chrome浏览器带来的跨域请求cookie丢失问题

最新推荐文章于 2024-07-02 15:15:34 发布

小白旗

最新推荐文章于 2024-07-02 15:15:34 发布

阅读量3w

点赞数 9

分类专栏： php http session

本文链接：https://blog.csdn.net/qq_37788558/article/details/104484888

版权

php 同时被 3 个专栏收录

94 篇文章 2 订阅

订阅专栏

http

7 篇文章 0 订阅

订阅专栏

session

2 篇文章 0 订阅

订阅专栏

A cookie associated with a cross-site resource at http://weibo.com/ was set without the SameSite attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies

今天线上业务的跨域接口请求莫名的出现问题，经深入排查，发现新版本的chrome浏览器（80版本之后）对cookie的校验更加严格，SameSite属性默认值由None变为Lax，因此可能会对线上业务带来问题特此与大家同步一下今天的发现，存在跨域接口调用业务的小伙伴可能需要关注。

在这里插入图片描述
chrome升级到80版本之后(准确的说是78版本之后，灰度测试，如上图，即也可能存在同一版本不同人的浏览器表现不同)，cookie的SameSite属性默认值由None变为Lax，该问题的讨论可参考：https://github.com/google/google-api-javascript-client/issues/561

在Lax模式下，以下类型请求将受影响
在这里插入图片描述
此时可以尝试显式声明 Cookie 的SameSite属性为None，并设置Secure (不然无效)。

更多关于cookie SmaeSite属性的介绍可参考： https://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

另外，新版本chrome的devtool中的提示及指引文档如下：

以上问题由浏览器版本升级导致，很突然，如果线上遇到了，短时间不易定位问题，不容易往浏览器限制这方面想，今天也是花了一定时间才确定问题，特此整理下，希望帮助大家快速处理同类问题，随着陆续越来越多的用户浏览器版本升级上来，问题会逐渐暴露，最好能提前做好准备。

扩展阅读：SameSite 属性是什么

Cookie 的SameSite属性用来限制第三方 Cookie，从而减少安全风险。

它可以设置三个值。

Strict
Lax
None

Strict

Strict最为严格，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。换言之，只有当前网页的 URL 与请求目标一致，才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格，可能造成非常不好的用户体验。比如，当前网页有一个 GitHub 链接，用户点击跳转就不会带有 GitHub 的 Cookie，跳转过去总是未登陆状态。

Lax

Lax规则稍稍放宽，大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求，只包括三种情况：链接，预加载请求，GET 表单。详见下表。

请求类型	示例	正常情况	Lax
链接	`<a href="..."></a>`	发送 Cookie	发送 Cookie
预加载	`<link rel="prerender" href="..."/>`	发送 Cookie	发送 Cookie
GET 表单	`<form method="GET" action="...">`	发送 Cookie	发送 Cookie
POST 表单	`<form method="POST" action="...">`	发送 Cookie	不发送
iframe	`<iframe src="..."></iframe>`	发送 Cookie	不发送
AJAX	`$.get("...")`	发送 Cookie	不发送
Image	`<img src="...">`	发送 Cookie	不发送

设置了Strict或Lax以后，基本就杜绝了 CSRF 攻击。当然，前提是用户浏览器支持 SameSite 属性。

None

Chrome 计划将Lax变为默认设置(80版本已实施)。这时，网站可以选择显式关闭SameSite属性，将其设为None。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

如对您有帮助，不妨点一波关注～

小白旗

关注

9
点赞
踩
28

收藏

觉得还不错? 一键收藏
打赏
17
评论
新版本chrome浏览器带来的跨域请求cookie丢失问题

A cookie associated with a cross-site resource at http://weibo.com/ was set without the SameSite attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they a...
复制链接

扫一扫