Cookie属性SameSite作用

于 2024-04-29 15:45:07 发布
阅读量211 收藏 6
点赞数 5
分类专栏: HTTP 文章标签: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38983511/article/details/138315190
版权

Cookie 的 SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

  • Strict
  • Lax
  • None
1 、Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2 、Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

 导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

设置了StrictLax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

3 、None

Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

 下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

橘右溪
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie跨域问题解决方案代码示例
01-21
一、前言   随着项目模块越来越多,很多模块现在都是独立部署。模块之间的交流有时可能会通过cookie来完成。比如说门户和应用,分别部署在不同的机器或者web容器中,假如用户登陆之后会在浏览器客户端写入cookie(记录着用户上下文信息),应用想要获取门户下的cookie,这就产生了cookie跨域的问题。   二、介绍一下cookiev   cookie路径:   cookie 一般都是由于用户访问页面而被创建的,可是并不是只有在创建 cookie 的页面才可以访问这个cookie。在默认情况下,出于安全方面的考虑,只有与创建 cookie 的页面处于同一个目录或在创建cookie页面的子目
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
CookieSameSite 属性
一劍傾城
07-29 1072
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换...
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 9735
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
Chrome调试时跨站不能设置cookie问题
Mr_TianChen的博客
08-12 3548
一直使用IIS配置开发前端页面,连接的后台服务,今天开机打开登录发现登陆不成功, 查看请求时发现登陆请求设置的set-cookie path后还跟这一个感叹号, 登陆成功调用其它接口时发现请求没有cookie了, 然后就一通查询啊,发现CHROME 80版本以后,SAMESITE COOKIE验证跨站问题, this set-cookie didn't specify a "SameSite" attribute,然后变成默认Lax。 为了调试的时候会方便点。找了一下怎么关闭chrome的这个选项
Chrome浏览器跨域cookie问题
p763833631的博客
04-13 2261
原因 chorme header 头的 cookie 里有一个黄色的小叹号, 提示 This set-cookie didn't specify a 'SameSite' attribute and was defaulted to 'SameSite=lax' and broke the same rules specified in the SameSitelax value,samesite 是 chrome 为了限制第三方 cookie 问题而加的功能,对于 chrome 80 后的版本,跨域..
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Cookie SameSite属性的扩展 自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将...
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookiesamesite属性为none 作者:深入浅出0
django-cookies-samesite:该存储库包含一个中间件,该中间件会自动为Django的旧版本中的会话和csrf cookie设置SameSite属性
05-02
django-cookies-相同站点 该存储库包含一个中间件,该中间件会自动为Django的旧版本(例如1.11.x,2.2.x或3.0.x)中的会话和csrf cookie设置SameSite属性。 Django 3.1.x不需要此模块,它为会话和csrf cookie引入了...
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理
05-17
应该不发送相同的站点该模块随附: 一个小的实用程序函数isSameSiteNoneCompatible ,用于为SameSite=None cookie属性检测不兼容的用户代理(浏览器)。 甲快递中间件shouldSendSameSiteNone用于自动地除去SameSite=...
关于浏览器警告提示 - This Set-Cookie header didn‘t specify a SameSite attribute
最新发布
SAP 资深技术专家 Jerry Wang 的技术分享
01-01 648
这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。属性,浏览器就会发出这个警告。因为这个Cookie是通过跨站点的响应设置的,而不是在顶级导航中。属性Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。:允许在顶级导航和导航到嵌套导航的安全上下文中发送Cookie,例如通过安全链接访问的子页面。,它返回一个设置了Cookie的响应,而且该Cookie未指定。当请求的源与页面的源不同,就称为跨站点请求。
Axios+Nginx+Tomcat跨域和SessionId变化问题解决方案
临渊而立
11-20 1877
在一个浙里办应用的项目中,被跨域问题困扰了好几天,查阅了大量网文,大部分文章都能解决跨域的问题,但是无法解决SessionId不能保持的问题。 先两步解决跨域的问题: 1、Axios调用的时候设置withCredentials为true: 2、服务端设置允许跨域: allowed-origins="*"//有些文章说这里不能设置为星号,必须跟调用方域名一致,经过我的测试好像不影响。 all...
谷歌跨越导致的cookie问题
luoyun620的博客
07-06 702
项目开发中,在请求第三方接口时,为了安全,往往需要接口认证。最常用的方法是先请求登录接口,接口后端在返回的response headers中写入cookie值;然后再请求具体的数据接口,此时,浏览器会根据请求的URL自动查找cookie,如果找到,则在request headers里写入cookie。过程如下图。 ...
【vue】跨域警告“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
九琼的博客
04-01 5400
此Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自跨站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现跨站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
nodejs express解决fetch请求和使用Set-Cookie交互,axios\fetch网络请求携带cookie
weixin_51958960的博客
07-05 1250
This Set-Cookie header does not specify the "SameSite" attribute, defaults to "SameSite=Lax", and is blocked because it comes from cross-site responses, not responses to top-level navigation. SetCookie must be set to "SameSite=None" to enable cross-site us
前后端分离使用shiro登录认证cookie跨域问题踩坑
不定时分享最优质的网络技术与教程,满满的干货。
07-09 852
设置好后,再次请求,你会发现又报了如下错误。你明明设置了cookie,但是就是找不到,请求的时候也带不上,查看Set-Cookie这一行,可以发现有个黄色的叹号,鼠标放到叹号上可以看到chrome给我们的提示,因为SameSite设置的原因,chrome认为这个cookie不应该被跨越携带,所以没有设置,自然也就无法携带cookie。具体解决方式就不写了,可以自己搜索一下。charset=utf-8"的请求,会首先发送一次预检请求,然后再发送正式的post请求,这时,在POST请求时我们可能会有如下错误。
跨站点设置 Cookie
weixin_43536737的博客
04-21 2541
网站跨站点实现单点登录的实现前言实现方法跨子域(Across-Subdomains)完全跨域(Across-Domains)用户首次单点登录用户跨站访问用户退出登录结语参考资料 前言 网站的用户身份验证往往使用 Cookie 技术。用户在一个网站进行登录以及身份验证的过程一般为: 在登录页面进行登录后,将登录用户的用户名等信息加密后写在本地浏览器中,也就是一个 Cookie,我们把这个 Cookie 叫做票(Ticket)。 需要判断用户是否登录的页面,需要读取相应 Ticket,并从中解密出用户信息,
两个不同主域之间跨域设置cookie
riipgah的专栏
04-29 6246
应用说明: (1)两个网站主域名不同才需要这样跨域设置(如:***.a.com,***.b.com ,a 和 b 不同的情况) (2)chrome浏览器内核才需要这样跨域设置(chrome edge 360 需要,firefox不需要,ie目前未试通) (3)浏览器登录a系统拿到cookie值,然后在a系统网页中带着cookie值参数调用b系统接口设置b主域cookie值。 1、提供cookie值一方,在网页中以ajax方式调用被设置cookie值方的接口,发送......
nginx配置 设置cookiesamesite属性
04-25
SameSite指定cookie在什么情况下可以发送,有三个选项:Strict表示只能在同源请求时发送,Lax表示除了GET请求之外的请求均可发送,None表示任何情况下都可以发送,但需要配合Secure属性使用。 注意,如果使用了Same...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值