新版chrome跨域问题:cookie之SameSite属性

最新推荐文章于 2024-04-29 15:45:07 发布
最新推荐文章于 2024-04-29 15:45:07 发布
阅读量2w 收藏 40
点赞数 11
分类专栏: spring 文章标签: java spring boot csrf chrome cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38527695/article/details/104899751
版权

最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。

事情的起始大概是这样的:

首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题:

发现问题:

  1. 登录界面前后端分离,ajax提交登录时出错。
  2. 验证码接口和登录接口的session不一致(跨域问题);
  3. 在网上搜索跨域问题,重新设置,问题依旧。

错因排除:

  1. ajax允许cookie(已经设置 xhrFields: { withCredentials: true} )。
  2. springboot尝试设置了多种跨域方法(springboot解决跨域)。

深入分析:

  1. 使用其它浏览器(firefox, ie),session却是一致的。。
  2. 对比chrome和firefox请求头和响应头:

firefox:首次发起请求后,服务端返回sessionId后,之后每次请求中的cookie都会带上sessionId。

chrome:请求头始终未携带sessionId,甚至整个cookie都为空,导致服务器每次都接受不到sessionId,每次都会重新分       配 一 个 session。


出现转机:
       搜索chrome未携带cookie原因,发现cookie新属性:SameSite(chrome77版本后支持) 。对该属性的介绍可以参考这篇文章:SameSite。同时,查看chrome的cookie,由于没有指明SameSite的取值,chrome默认将其设置为了Lax:

 

寻找解决方案:

  • DefaultCookieSerializer

   通过CookieSerializer ,我们可以手动的修改SameSite的值。

   @Bean
    public CookieSerializer httpSessionIdResolver() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        cookieSerializer.setSameSite(null);
        return cookieSerializer;
    }

 注意,你的项目如果未做session分布式管理,可能需要引入以下依赖才能使用上述类。至于不同Chrome版本号的问题可以参考这篇文章:关于解决Chrome新版本中cookie跨域携带和samesite的问题处理

     <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-core</artifactId>
            <version>2.1.4.RELEASE</version>
        </dependency>

 

  • 设置CookieProcessor(待解决)

全局搜索SameSite,发现tomcat下的CookieProcessor提供了setSameSiteCookies方法,可是设置后无效,,可能是使用方法不对。

  • 设置response的header(推荐)

通过在后端中设置response.setHeader("Set-Cookie", "HttpOnly;Secure;SameSite=None"),响应头可以看到设置的Set-Cookie,但是chrome提示 如下:

由于设置SameSite为NONE时,需要同时设置secure,不设置secure无效,而设置secure之后,必须使用https来传输cookie。相对来说较为安全。
 

  • 我的最终方案:

继续查找资料的时候,幸运的找到了github上对于该问题的探究:New cross-site cookie not 'SameSite' warning in Chrome

看到其中的一条解决方案:  禁用chrome samesite。方法如下:

1. 在chrome中打开链接: chrome://flags/#site-isolation-trial-opt-out,搜索samesite

2.将上述三个选项禁用(设为disable)后重启chrome,问题解决。

 

总结:

      存在即合理,SameSite的设计初衷是为了防止CSRF攻击,禁用SameSite实际上并没有解决问题,属于下下策。这里提供一下我的理解,SameSite为了防止CSRF攻击,加强了对cookie的管理,防止用户带着cookie去访问第三方网站,而这又涉及到了跨域问题。然而,我们不可能要求用户像我们一样去禁用新版chrome的SameSite,目前的建议就是在header中设置samesite,即上述的response.setHeader("Set-Cookie", "HttpOnly;Secure;SameSite=None")后,使用https传输cookie。

时间问题文章逻辑可能并不严谨,仅供参考,如发现错误欢迎指正。

dominx
关注
  • 11
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
asp.net(C#)跨域及跨域写Cookie问题
01-01
解决方法是: 代码如下: //www.B.com里的被调用的页面需要写P3P头,从而解除IE对写Cookie的阻止 context.Response.AddHeader(“P3P”, “CP=CAO PSA OUR”); //www.A.com里通过ajax调用www.B.com里的内容时,是跨域...
解决新版谷歌Chrome浏览器Cookie跨域失效问题
zhiwenganyong的博客
06-25 6690
解决新版谷歌Chrome浏览器Cookie跨域失效问题
Cookie 的 SameSite 属性
日积月累的博客
11-22 6317
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 409
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
Springboot应用中设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 1万+
转自:Springboot应用中设置Cookie的SameSite属性 - SpringBoot中文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
set-cookie中的SameSite属性
热门推荐
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie中的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
Springboot+Shiro出现SameSite问题
您已进入外太空
04-30 6681
首先说明一下低版本的shiro-spring是没有这个问题的,我发现这个问题的shiro-spring是1.5.2版本 我没有去考证过到哪个版本会出现这个问题,但是肯定的是新版本shiro-springcookie加上了SameSite属性 首先说明一下网上说配置CookieSerializer是不会起作用的,原因是当引入shiro-spring之后,对于cookie的序列化操作会托管给sh...
快速解决跨域请求问题:jsonp和CORS
10-18
主要介绍了快速解决跨域请求问题:jsonp和CORS,涉及jsonp和CORS的介绍,分享了前端 jQuery 写法,后端 SpringMVC 配置,后端非 SpringMVC 配置等相关内容,具有一定借鉴价值,需要的朋友可以参考下。
Ajax跨域访问Cookie丢失问题的解决方法
10-20
主要介绍了Ajax跨域访问Cookie丢失问题的解决方法,需要的朋友可以参考下
基于axios 解决跨域cookie丢失的问题
10-17
然而,有些情况下我们需要在跨域请求中保持登录状态,这就涉及到如何处理跨域cookie的问题。在本篇文章中,我们将深入探讨如何基于axios库来解决这个问题。 axios是一个非常流行的JavaScript库,用于发起HTTP请求。...
解决ajax跨域请求数据cookie丢失问题
12-08
在Web开发中,由于同源策略的限制,Ajax请求通常无法跨域获取数据,这会导致在处理登录状态、用户信息等需要使用cookie的情况时出现问题。本文将深入探讨如何解决Ajax跨域请求时cookie丢失的问题。 首先,理解同源...
跨域SSO的实现之一:架构设计
03-02
周一的早晨,当你正在纳闷周末咋就一眨眼过去了并对接下来漫长的一周感到无比蛋疼之时,你收到了一份Email。操蛋的是它既不是微软的offer也不是Google的offer,而是客户发来的一个新需求。他说你们现在帮我们公司做...
如何使用localstorage代替cookie实现跨域共享数据问题
09-28
主要介绍了如何使用localstorage代替cookie实现跨域共享数据问题,本文给大家带来了实现方案,使用postmessage和localstorage进行数据跨域共享问题,感兴趣的朋友一起看看吧
chrome 浏览器跨域插件下载
04-07
"chrome 浏览器跨域插件下载"这个主题正是针对这一问题,提供了能够帮助开发者解决跨域问题的工具。 Moesif Origin .crx 是一个Chrome浏览器的扩展插件,它主要用于调试和分析API请求,尤其是处理跨域问题时非常...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 ...搜索问题,发现跨域,服务器响应的setCookie浏览器无法保存,而且就算保存了域名不同也不能携带。 第一步: 后台添加过滤器,因为前后端分离,不可能每个方
ajax 请求时,谷歌(chrome)浏览器 SameSite 问题
fyuhao的博客
11-06 1003
以前写好的登录用的 SpringSession + SpringSecurity,突然登录功能不能用了。火狐以及手机上的浏览器等都没有问题,就谷歌浏览器有问题(直接在地址栏访问get接口也没有问题,但是每次 ajax 请求后台的时候,后台都会新创建一个 session,导致带权限的接口统统失效~~~~) 1、问题原因 2、解决方案 @Bean public CookieSerializer httpSessionIdResolver(){ DefaultCookieSe.
跨域请求无法携带Cookie的问题
Markix的博客
01-06 4671
项目使用了SpringSecurity框架,登录成功后会设置cookiecookie信息如图: 跨域登录成功后(自动设置了cookie),后续的其他请求没有自动携带cookie。 解决 cookie属性介绍:https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookie 当设置 secure=true 时,只有发送 https 请求才会携带 cookie 当设置 SameSite=none 时,跨域请求才会携带 cookie 对于我遇到的情况,上
Cookie 的使用
青蛙king的博客
06-16 3745
目录 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) .....................
Vue中解决ajax跨域问题:使用axios与代理配置
在这个文档中,重点讨论了如何在Vue中使用axios库进行Ajax操作,并解决了开发环境中的跨域问题。Axios是一个流行的JavaScript库,它基于Promise,使得异步数据请求更加简洁。相较于jQuery的$.ajax或$.getJSON,axios...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值