关于iframe下session丢失的问题

于 2022-09-05 15:17:56 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: JAVA相关 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41228643/article/details/126706055
版权

问题描述:

页面中通过Iframe嵌入了另外一个网页,但是嵌入的网页无法设置cookie,导致无法访问。仔细检查,在浏览Set-cookie的响应头出发现提示:This Set-Cookie didn’t specify a “SameSite” attribute and was defaulted to “SameSite=lax”, and was blocked because it came from a cross-site response which was not the response to a top-level navigation. …

原因:谷歌最新版的浏览器默认SameSite=Lax (该设置从2020 年7月14全面展开,具体见:https://www.chromestatus.com/feature/5088147346030592),如果设置SameSite=Lax , 并且嵌入Iframe的地址和iframe外的地址不是SameSite,那么嵌入iframe的地址将无法设置设置cookie。关于什么是SameSite,首先应该理解site,所谓Site就是域名后缀和其前面的第一部分,比如web.dev可以是一个Site,从而www.web.dev 和 static.web.dev 可以看成相同的Site。具体可以参考SameSite解释 或 https://tools.ietf.org/html/draft-ietf-httpbis-cookie-same-site-00 。

解决方法(提供三种作为参考):

在谷歌浏览器搜索 chrome://flags/#same-site-by-default-cookies chrome://flags/#cookies-without-same-site-must-be-secure 将这两项设置为Disabled,并重启浏览器。这种方法可以临时解决用户不能使用的问题。

采用一定方法将嵌入Iframe的地址配置成 Same Site ,比如使用nginx 代理。

在设置Cookie的响应头中添加 SameSite=None;Secure ,在Cookie响应头设置SameSite=None就可以替换谷歌浏览器的默认配置,而SameSite=None可以允许跨Site设置Cookie。一个完整的cookie响应头可以像这样: Set-Cookie: JSESSIONID=ACD341E8840C03003E4532921C21C035;Path=/begin01; SameSite=None; Secure ,至于怎么加响应头SameSite=None;Secure,可以考虑在nginx里设置,参考:https://blog.cat73.org/20170802/2017080201.nginx-cookie-sucure/,也可以在后台代码里设置,推荐nginx吧。这里注意一点 Secure 属性,这个属性说明设置的该cookie只能在https下传输,所以要求你使用https,不使用行吗,不行,因为SameSite=None 要求必须要和Secure=true一起使用。所以采用这个方法解决,你嵌入iframe的页面必须使用https。

原文:https://blog.csdn.net/ysyysjbama/article/details/108061969

草坂散人大队
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iframe 跨域访问session/cookie丢失问题解决方法
qq_43679771的博客
02-21 6176
iframe 跨域访问session/cookie丢失问题解决方法
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
今天搞的一个登录页面,被别的网站用iframe嵌进去后,死活无法登录(只在IE中存在这种情况)。 很明显,session无法被保存。但是直接在地址栏打开那个登录页面,一切都正常啊。真是奇怪啊。 在网上搜索了一下。发现...
iframe(frameset)跨域session丢失问题终极解决方案
情感交流群:58429903 欢迎加入
01-13 2141
常常会遇到,iframe跨域时,另一个系统读不到第一个系统的session。或者有时能读到,有时session却莫名奇妙的丢失问题。下面,我们就这一问题做简要的分析并提出可行的解决方案         假定系统一中一个iframe,包含了系统二的东西。而系统一用户在此iframe加载后还会不定时的再请求系统二,而这第二次请求,往往会发生读不到第一次的请求的session问题
[转] IFrameSession丢失的解决办法……
weixin_30586085的博客
08-11 229
2007-09-21 14:272301人阅读评论(3)收藏举报 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的。因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置:<sessionStatemode="StateServer"stateConnectio...
chrome浏览器iframe嵌套页面跨域无法获取cookie问题(SameSite 属性)
热门推荐
carry_chenxiaodong的博客
03-02 2万+
iframe
Chrome浏览器跨域cookie问题
p763833631的博客
04-13 2495
原因 chorme header 头的 cookie 里有一个黄色的小叹号, 提示 This set-cookie didn't specify a 'SameSite' attribute and was defaulted to 'SameSite=lax' and broke the same rules specified in the SameSitelax value,samesite 是 chrome 为了限制第三方 cookie 问题而加的功能,对于 chrome 80 后的版本,跨域..
Chrome浏览器Iframe镶嵌页面时不携带Cookie
gltncx11的博客
10-26 2382
谷歌浏览器不携带Cookie 服务页面登录后闪烁又返回登录界面 问题现象:         监控服务页面Sentinel和XXL-JOB登录后闪烁又返回登录界面,通过排查发现登录请求是没有携带Cookie,导致登录失败,后续请求返回401。 问题原因:         Chrome 51版本后浏览器的 Cookie 新增加了一个SameSite属性,
session丢失,跳出iframe框架
mmdev
03-10 104
iframe框架开发的网站中,如果在struts2中配制了session丢失就跑到登陆网页,这里的登陆网页会被嵌入到显示内容的那块区域,怎么能够让它替换整个窗口, 跳出iframe框架 呢? 解决session过期跳转到登陆页面并跳出iframe框架 在你想控制跳转的页面,比如login.jsp中的&lt;head&gt;与&lt;/head&gt;之间加入以下代码:...
iframe跨域与session失效问题的解决办法
10-26
主要介绍了iframe跨域与session失效问题的解决办法,有需要的朋友可以参考一下
IFrameSession丢失的解决办法
06-06
IFrameSession丢失的解决办法
解决chrom浏览器iframe嵌套写cookie问题
火焰云的博客
01-19 6530
chrom浏览器环境下当前网站被第三方iframe嵌套,如何保证cookie值成功写入 1、保证请求的url必须是https协议。 2、response头部设置 response.setHeader(“Set-Cookie”,ut+“Path=*; SameSite=None; Secure”);
[转]解决 Iframe跨域session 丢失问题
weixin_30564901的博客
10-23 180
解决 Iframe跨域session 丢失问题 Posted on2012-09-09 12:18祥叔阅读(370) 评论(2)编辑收藏 最近在开发一个新浪微博的第三方应用的项目(http://apps.weibo.com/weilvyou),在项目中用到了session。在测试时发现session取不到值,以为是session赋值除了问题,但是在Chrome中一切...
iframe中的session失效问题的解决
岁寒三友的专栏
06-03 1万+
     在开发web程序时,常常把自己开发的前台程序放到一个大的portal中,在portal 的页面中采用iframe嵌套我的前台页面(用frameset是一样的),但采用这种方法时有时会出现在我的前台页面中所需要的session实效了(单独跑前台程序是没有任何问题的),google了一下也没有太清楚的解释和解决方法。    其实之所以出现这种情况是我们一般采用IE6作为浏览器(IE7和f
使用chrome开发 时登录出现保存不了cookie, 有关SameSite = Lax 警告的问题
白白白桃乌龙的博客
03-17 6581
今天开发时忽然登录不上了,发现本地没有把cookie保存下来,可是其他浏览器都可以登录 啊,这应该不是代码问题,总觉得是谷歌的锅。 吧 百度都百度不到问题 ,令人掉发,最终找了半天找到一个解决方法: 在浏览器中输入: 把这两项disabled ...
Springboot JSESSIONID 设置 SameSite 属性为 NONE
星光的博客
06-02 5683
application.yml server: servlet: session: cookie: secure: true
如何把网页中的区域代码_如何解决使用Google Analytics网页代码中出现SameSite警告问题...
weixin_39675728的博客
12-03 139
为了防止 CSRF 攻击和用户追踪,新版本Chrome浏览器SameSite设置强制执行,第一方cookies在第三方场景正常工作变得尤为重要。跨站点使用的 cookie 必须指定 SameSite=none; secure 来确保将其在第三方场景中正常工作。近期Google Analytics也更新了cookieFlags (analytics.js) 和cookie_flags (App+We...
iframe中的session失效问题情况描述和解决
hanjiong的专栏
12-20 9779
  环境描述:A平台(域名:www.aaa.com),B平台(zengzhi.bbb.net)。A平台的一个页面a.jsp嵌套B平台的一个页面b.jsp(A使用iframe),在b.jsp上引用了B平台另外一个image.jsp,image.jsp生成一个随机验证码,存入session,生成一个图片,显示在b.jsp上。提交b.jsp,到B平台的Baction.do,发现在Bact
php iframe session,iframe跨域session丢失问题
最新发布
05-26
当在一个iframe中加载另一个域名下的页面时,由于浏览器的同源策略,两个页面之间的session信息是无法共享的,因此会导致session丢失问题。 解决这个问题的方法有两种: 1. 使用跨域的session共享方案,比如使用JSONP或CORS来解决跨域问题,然后在后端通过共享sessionid来实现session共享。 2. 将iframe中的请求转发到当前域名下的页面,然后在后端进行session处理。具体实现可以考虑使用代理或者反向代理等技术。 需要注意的是,跨域session共享方案需要保证安全性,避免出现安全漏洞。同时,为了提高网站的性能和安全性,建议尽量避免使用iframe来加载其他域名下的页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值