跨域cookie传输丢失问题(兼容高低版本谷歌游览器)

已于 2022-03-30 15:20:10 修改
阅读量1.2k 收藏
点赞数
分类专栏: 跨域cookie丢失问题 文章标签: java
于 2022-03-30 15:19:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39543889/article/details/123846814
版权

问题: 66版本以上的谷歌游览器,默认Cookie的 SameSite 属性为Lax,导致无法跨域传输cookie

SameSite 有3个值

1. Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

2. Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

3. None

Chrome 80版本后将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

所以当我们需要跨域传输cookie时就必须设置SameSite=None;Secure=true

但是问题来了,当我们设置为SameSite=None;Secure=true后发现,51-66版本的谷歌无法正常使用cookie了,原因是这些版本的SameSite属性并没有None值

解决方案

在写入cookie时判断游览器版本 再设置cookie的SameSite值

判断游览器版本获取SameSite值

public static String getSameSize (HttpServletRequest request){
        String userAgent = request.getHeader("user-agent");
        Browser browser = UserAgent.parseUserAgentString(userAgent).getBrowser();
        log.info("browser Name:"+browser.getName());
        if(browser!=null&&browser.getName().contains("Chrome")){
            Version version = browser.getVersion(userAgent);
            if(version.getMajorVersion()!=null){
                try{
                    int majorVersion = Integer.parseInt(version.getMajorVersion());
                    log.info("majorVersion:"+majorVersion);
                    // 如果是谷歌并且版本小于67,则设置为null
                    if(majorVersion<67){
                        return null;
                    }
                }catch (Exception e ){
                    e.printStackTrace();
                }
            }
        }
        return "None";
    }

添加cookie

String sameSize=CookieUitl.getSameSize(request);
ResponseCookie cookie = ResponseCookie.from(RANDOM_CODE_KEY, sRand.toString()) // key & value
                .httpOnly(false)		// 禁止js读取
                .secure(false)		// 在http下也传输
                .path("/")			// path
                .maxAge(Duration.ofHours(1))	// 1个小时候过期
                .sameSite(sameSize)	// 大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外
                .secure(true) 
                .build();
        //若一个请求中要添加多个cookie,改为addHeader
        response.setHeader("Set-Cookie",cookie.toString());

黑夜中的太阳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP实现跨域COOKIE(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-21 16
PHP实现跨域COOKIE(附完整源码)
前端跨域导致 cookie 丢失问题
最新发布
zhou18371318916的博客
03-21 511
此时后端如果不做任何特殊处理,框架将会把Bearer视为token的一部分,无法正常读取token信息,导致鉴权失败。sa-token:# token前缀此时 Sa-Token 便可在读取 Token 时裁剪掉Bearer,成功获取。Token前缀 与 Token值 之间必须有一个空格。一旦配置了 Token前缀,则前端提交Token时,必须带有前缀,否则会导致框架无法读取 Token。由于Cookie
80版本谷歌浏览器跨域cookie丢失原因及通过HttpCookie设置SameSite的解决办法
qq_25708927的博客
08-08 2715
1、跨域cookie丢失原因以及处理 2、如何将cookie中SameSite属性设置为None
跨域丢失cookie问题
stalary的博客
01-31 8305
2018年的第一篇博客,新的开始,新的起点 前几天在写一个利用cookie存储token的登陆demo时遇到了跨域丢失token的问题,在这里分享一下解决的方法。 案例分析 前端使用了vue-reource的$http进行请求后台接口 this.$http({ url: "http://120.24.5.178:8100/user/login",
ajax跨域调用cookie丢失
Robert_Tong的博客
09-16 359
原生ajax请求方式: var xhr = new XMLHttpRequest(); xhr.open("POST", "http://xxxx.com/demo/b/index.php", true); xhr.withCredentials = true; //支持跨域发送cookies xhr.send(); jquery的ajax的post方法请求: $.ajax
版本chrome浏览器带来的跨域请求cookie丢失问题
junjiahuang的博客
08-15 2594
近期业务线上出现问题,嵌套的页面莫名丢失cookie; 经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,有页面嵌套的可能会出现问题。 chrome升级到80版本之后(最坑的地方:灰度测试,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://github.com/google/google-api-javascript-client/issues/561 在Lax模式下,以下类型
Ajax跨域访问Cookie丢失问题的解决方法
10-20
主要介绍了Ajax跨域访问Cookie丢失问题的解决方法,需要的朋友可以参考下
基于axios 解决跨域cookie丢失问题
10-17
今天小编就为大家分享一篇基于axios 解决跨域cookie丢失问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决ajax跨域请求数据cookie丢失问题
10-24
本文主要是从前端jquery和服务端php为例,分别使用实例解决ajax跨域请求数据cookie丢失问题,推荐给有相同需求的小伙伴们。
asp.net(C#)跨域跨域Cookie问题
01-01
解决方法是: 代码如下: //www.B.com里的被调用的页面需要写P3P头,从而解除IE对写Cookie的阻止 context.Response.AddHeader(“P3P”, “CP=CAO PSA OUR”); //www.A.com里通过ajax调用www.B.com里的内容时,是跨域...
google浏览器cookie的SameSite属性导致跨域情况下cookie无法传递的问题
明豆的博客
03-18 4552
2019年2月4号谷歌发布Chrome 80稳定版后,关于cookie的SameSite属性做了以下更改: (1)没有设置SameSite属性的默认SameSite=Lax; (2)SameSite=None的cookie则必须设置为Secure,即安全链接(https)。 大家可能不是很了解SameSite属性,它是在Chrome51版本新增的一个属性,主要是用来防止第三方恶意获取c...
[已解决]Spring Boot Ajax跨域问题,Cookie无法获取 丢失问题
qq_52960593的博客
09-22 3173
服务端获取cookie失败报错, 注册和更改密码需要使用Cookie的功能失效, 在查找文档后发现错误来源于springboot和ajax的跨域cookie丢失问题, 由于我是刚接触后端的小白, 这里只贴出我的解决方案。在写自己项目的登录注册页面时, 因为我的注册和更改密码功能采用了邮箱验证, 在发送验证码的时候后端会向响应数据中添加一个cookie。再响应标头中分明有set-Cookie, 但是再第二次的请求标头中却找不到Cookie。在本地进行测试时, Cookie能正确添加进响应中, 也能正确获取。
jquery使用CORS跨域请求时,为什么cookie丢失了。
leonpengweicn的专栏
12-15 3716
https://segmentfault.com/q/1010000004509223 1. 我遇到的问题 ajax CORS跨域时,按照网上的xhr.withCredentials介绍进行了正确的设置,但是cookie还是丢失了,问题出在哪里? 请大神过目!!! 2. 代码截图 以下是截图,在客户端和服务端都进行了设置,但是还是没有cookie发送出去。
解决新版本chrome浏览器跨域请求cookie丢失问题
如切如磋,如琢如磨
03-31 1705
  之前部署很久的项目最近冒出来重定向后丢失cookie问题,之前网上的解决方案大都是在前后端设置属性的方式,一般细心点也不会出现这样的问题,查过资料后发现chrome升级到80版本之后cookie的SameSite属性默认值由None变为Lax: 解决方案: 谷歌浏览器里面:chrome://flags/ 把SameSite by default cookies这个参数设置成disabled 设置 Set-Cookie: widget_session=abc123; SameSite=None
Chrome跨域访问网络请求Cookies丢失的解决办法
专注成就非凡
10-16 2262
对于需要跨域访问(包括局域网下不同IP的访问)时,若不取消Chrome的强制限制,则会无法正常访问。若两个域名使用不同的权限认证时,保存在Cookie中的身份信息会丢失
为什么前后端分离跨域,ajax请求会丢失cookies
douxubao的博客
04-04 250
因为浏览器只会携带url请求的ip端口所在服务器的cookies,所以微服务项目如果部署在一台服务器,虽然ip相同,但是端口不同,cookies也会丢失 所以微服务和前后端分离场景都需要使用token去携带信息而不使用cookies ...
谷歌浏览器跨域丢失Cookie问题
YangzaiLeHeHe的博客
10-23 4518
文章目录谷歌浏览器跨域丢失Cookie问题一、问题背景交代二、分析2.1、整体调用链路2.2、复现2.3、分析三、原因四、解决4.1、治标4.2、治本 谷歌浏览器跨域丢失Cookie问题 一、问题背景交代 公司内部系统A页面内嵌系统B的界面。当在A系统的界面中点击B系统图标跳转时此时跨域,导致跳转后的界面空白,A系统会向B系统发送一些请求参数,而B系统没有拿到这些参数,导致重定向后的界面空白。 二、分析 2.1、整体调用链路 2.2、复现 这个问题在Chrome浏览器【我本地的】100%复现,后来切换到了
版本chrome浏览器(80版本后)带来的跨域请求cookie丢失问题
ZHY_ERIC的博客
03-21 321
版本chrome浏览器(80版本以后)带来的跨域请求cookie丢失问题 - 天马3798 - 博客园
java 跨域 cookie_跨域请求传递Cookie问题
06-11
跨域请求中,浏览器默认是不会将Cookie发送到另一个域的。这是出于安全考虑,防止恶意网站获取用户的敏感信息。但是有些情况下,我们需要将Cookie发送到其他域中,这时可以通过设置响应头中的Access-Control-Allow-Credentials为true来允许跨域请求携带Cookie。 在服务端,需要对跨域请求进行特殊处理,具体步骤如下: 1. 在响应头中设置Access-Control-Allow-Origin,允许请求的域名。 2. 设置Access-Control-Allow-Credentials为true,允许跨域请求携带Cookie。 3. 在客户端发送请求时,需要设置withCredentials为true,表示允许发送Cookie。 示例代码如下(以Java为例): ``` // 设置允许跨域请求的域名 response.setHeader("Access-Control-Allow-Origin", "http://www.example.com"); // 允许跨域请求携带Cookie response.setHeader("Access-Control-Allow-Credentials", "true"); // 客户端发送请求时需要设置withCredentials为true xhr.withCredentials = true; ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值