Chrome 同站策略(samesite)问题探究

最新推荐文章于 2024-03-06 17:17:07 发布
最新推荐文章于 2024-03-06 17:17:07 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: JavaScript 文章标签: chrome 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40311523/article/details/120720894
版权

项目背景

需求是一个类似 Disqus 的用户评论系统,用户评论模块使用 Iframe 嵌入到其他网站;但是用户属于公共的用户系统,所以使用单点登录,需要用到登录系统生成的 Cookie。

问题及探究

用户评论模块通过 Cookie 调取用户信息时,控制台提示:
this set-cookie didnot specify a "sameSite" attribute and was defaulted to "sameSite=Lax" and broke the same rules specified in the SameSiteLax value

出现这个问题的原因是从 Chrome 51 开始, 为了防止 CSRF 攻击,Cookie 新增加了一个 SameSite 属性,用来禁止第三方 Cookie 的读写权限,并且在最新版本 Chrome 中,该功能无法从设置中关闭

SameSite 属性可以有3个值:

  1. Strict :完全禁止第三方 Cookie ,跨站点时,任何情况下都不会发送 Cookie 。
  2. Lax :大多数情况也是不发送第三方 Cookie ,GET 请求除外。
  3. None :关闭 SameSite 属性,但前提是必须同时设置 Secure 属性( Cookie 只能通过 HTTPS 协议发送),否则无效。

所以说,可以通过设置 Set-Cookie: cookie_data=abc123; SameSite=None; Secure 来解决这个问题;或者,既然这个问题出在 Cookie 上,那么也可以不使用 Cookie ,通过后端定义 token 来解决这个问题(推荐),因为 token 不会自动被浏览器携带。

什么是 CSRF ?

CSRF ( Cross-site request forgery ) 跨站请求伪造:攻击者引诱受害者进入第三方网站,利用受害者的 Cookie ,冒充受害者进行某些操作。具体攻击流程大概如此:

  1. 受害者正常登录网站 a ,获取了 a 的凭证 Cookie
  2. 攻击者引诱受害者访问网站 b
  3. 网站 b 向网站 a 发送请求,由于之前受害者访问了网站 a ,所以这个攻击请求利用之前的 Cookie 绕过了后台的用户认证
  4. 以受害者的名义,执行一些操作
  5. 攻击完成。
大魔王sama
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
chrome-same-site
07-16
将指定网上的 Cookie 恢复为旧版 SameSite 行为,下载之后将baidu.com改为自己需要设置的域名
Chrome和Edge策略文件.zip
最新发布
06-27
Chrome和Edge策略文件, Chrome和Edge策略文件, Chrome和Edge策略文件, Chrome和Edge策略文件。
Chrome后针对第三方Cookie的规则调整(default SameSite=Lax)
coco723的博客
06-04 651
何谓Cookie以及SameSite Chrome 80+后的调整& 检测方式 自家网的程式码该如何调整 何谓Cookie以及SameSite cookie 中文上可以理解成一块暂时存放在使用者浏览器的资料,并可以被提取用来记录使用者的状态、差异化使用者的体验以及后续追踪行为。而写入的方式可以透过服务器(Server)在回复(Response)浏览器的请求(Request)时,在描述部分(Header)带上Set-Cookie key=value的栏位。 Cookie另外还有第一方合第三方的分.
chrome策略samesite问题及解决方案
热门推荐
左直拳的马桶_日用桶
01-08 2万+
一、同策略问题 chrome自版本80之后,就出现了所谓同策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个点的话,就不传cookie给B页面所在的点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
chrome浏览器解决跨域请求SameSite方案
kaosini的专栏
09-28 1018
chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
新版chrome跨域问题:cookie之SameSite属性
ChinaMuZhe的博客
06-07 1009
背景: 在系统A中使用<iframe>标签嵌入了系统B的页面,系统A,B均集成单点登录。系统A登录后,即可直接访问系统B的页面,无需重复登录 问题: 业务tong'xue
如何解决 chrome 不允许跨请求 samesite
nongcunqq的博客
08-28 2054
1.在地址栏输入 chrome://flags/#cookies-without-same-site-must-be-secure 2.搜索 same,disable如下几个 3.点击relaunch,重新载入,使刚才的设置生效 操作过程中还遇到一邪门问题,cookie中sessionId出现两次,导致cookie验证失败,搜索无果,后来手动查看cookie,发现一个属于www.h.com,另一个属于.h.com,地址栏输入 chrome://settings/siteData?search=cook
Chrome 80 Cookie跨域 Samesite Lax 的错误
郎涯技术
07-30 1万+
本地局域网前后端分离的项目,前端是192.168.123.90,后端是192.168.123.2。今天早上发现用户登录报告登录失败(本质原因是无法设置cookie)。一开始以为后端出问题了,但最近没改用户登录的相关逻辑,后来换火狐、edge 是可以的,并且有些人的 Google 可以正常登录。 有问题的Google浏览器的调试信息报告以下错误: 设置cookie时提示:This set-cookie didn't specify a "SameSite" attribute and was defaulte
SameSite .NET Core(2.1/2.2/3.0/3.1)源码
09-11
SameSiteCookiesServiceCollectionExtensions.cs 解决 Chrome 等浏览器因为 SameSite 导致的问题。 使用方法参见:https://asdfg.blog.csdn.net/article/details/108514763
一键搞定Chrome同步
04-05
在使用Chrome时肯定会遇到不能登录,不能同步的问题。各种解决方法可能比较麻烦。此处转载一个可用的Chrome同步助手,安装方法可搜索crx插件安排方法。亲测可用!非本人编写,只是搬运到此。如果作者有意见,请联系...
Chrome同步助手1.8
07-19
Chrome(谷歌)浏览器使用此扩展程序,可同步Chrome浏览器账号数据
Chrome同步助手,同步书签信息
02-23
Chrome同步助手是一款针对谷歌浏览器(Chrome)设计的插件,主要功能是帮助用户方便快捷地同步他们的书签信息。在日常使用中,人们往往会在不同的设备上使用Chrome浏览器,而书签作为重要的浏览历史和收藏记录,保持...
chrome同步助手
12-21
可用于 chrome浏览器同步账号插件主题使用, 可用于 chrome浏览器同步账号插件主题使用,
Chrome策略配置文件
12-03
Chrome策略配置文件是Google Chrome浏览器的企业级管理工具,它允许管理员对大量用户或设备的浏览器设置进行集中管理和定制。这种配置文件基于Windows的组策略对象(GPO),但也可以在其他操作系统上通过类似的...
谷歌Chrome策略模板
04-29
为了更好地管理和控制企业环境中Chrome的使用,谷歌提供了“Chrome策略模板”(chrome.adm),这是一份配置文件,允许管理员自定义和强制执行一系列的浏览器设置。本文将深入探讨Chrome策略模板的用途、功能以及...
Chrome浏览器跨域cookie问题
p763833631的博客
04-13 2583
原因 chorme header 头的 cookie 里有一个黄色的小叹号, 提示 This set-cookie didn't specify a 'SameSite' attribute and was defaulted to 'SameSite=lax' and broke the same rules specified in the SameSitelax value,samesitechrome 为了限制第三方 cookie 问题而加的功能,对于 chrome 80 后的版本,跨域..
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 1989
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端传来的Cookie可以在前端正常保存,但当前端向后端请求时携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax‘
神zhi殇的博客
03-06 1589
它返回一个设置了Cookie的响应,而且该Cookie未指定SameSite属性,浏览器就会发出这个警告。本地登录某个项目系统的时候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie,导致401登录系统失败。这可能导致跨点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。: SameSite属性是Cookie的一个属性,用于控制Cookie在跨点请求中是否被发送。
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 1万+
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
如何让chrome可以 samesite by default cookies
04-20
可以通过在Chrome浏览器URL栏中输入chrome://flags/#same-site-by-default-cookies并启用SameSite by default cookies标志来实现。启用此功能后,Chrome浏览器将根据SameSite属性自动为所有cookie添加SameSite属性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值