chrome 跨域主域名不同无法跨域携带 cookie samesite问题

最新推荐文章于 2024-08-21 19:59:39 发布
最新推荐文章于 2024-08-21 19:59:39 发布
阅读量3.9k 收藏 9
点赞数 6
文章标签: 前端 跨域 samesite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42535651/article/details/113770746
版权

背景:

最近遇到了一个跨域无法携带 cookie 的问题。即我在前后端设置无误的情况下跨域,可以正常发送请求但是无法携带 cookie。

最后经过一番搜索找到了问题的原因,并在此进行记录一下。

什么是跨域?

跨域是浏览器的一种保护措施。防止一些恶意网站将一些链接以某种形式嵌入在网站中,用户不经意间点击链接,其实就会向链接发送了一个请求。如果请求可以随意携带上 cookie ,那就存在了安全问题,比如使用用户的 cookie 进行一些购物操作等,在用户不知情的情况下进行恶意操作。
因此浏览器限制了不同域名的请求如果没有设置 CORS 是不接受返回的。而且如果没有在前端设置 credential 且在后端返回头设置 access-allow-credential 和 access-control-allow-origin 写明请求 url, 就不会携带 cookie 的。

跨域的常用解决方式

解决跨域最常用的方式是使用 CORS(跨域资源共享)。

后端设置返回头:

//前端请求不携带 cookie:
Access-Control-Allow-Origin: *  
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type

//前端请求携带 cookie
Access-Control-Allow-Origin: 这里填写前端请求具体的url
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type
Access-control-allow-credentials:true

若要携带 cookie,同时需要在前端设置 withCredentials : true

一般这样设置就可以在不同域名的情况下发送请求并且接收到返回消息,并且可以携带 cookie

无法携带 cookie 原因

我虽然前后端都按照上面的配置了,按理说应该会携带 cookie。但是没有携带。原因是 chrome 2020年新版本的浏览器更改了 cookie 的一个属性:samesite
以前版本的 samesite 默认值是 none ,即只要配置了上述的 cors 跨域就可以带上 cookie。但是现在的默认值改成了 lax ,即只能在主域名相同情况下携带 cookie
举个例子,在配置了 cors 情况下:
test.edu.com 可以向 aaa.edu.com 发送跨域请求并携带 cookie
test.edu.combbb.net.com 发送请求,但不能携带 cookie
原因是 test.edu.com 的主域名是 edu.combbb.new.com 的主域名是 .new.com 这两个域名的主域名不同就不能发送 cookie

samesite 介绍:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie/SameSite

解决方法

  1. 在 chrome 中输入 chrome://flags/ 把 samesite 关闭就好了
    在这里插入图片描述

  2. 将请求换成 https,然后设置 samesite 为none 且同时 secure 为 true
    为什么需要 https ,因为设置 secure 只能 https

  3. 跨域请求在一个主域名下面

一枚前端猿
关注
google浏览器cookie跨域携带和samesite问题
weixin_45670469的博客
07-13 2795
前端时间项目登录过程中使用google登录一直登录不上,知道是google版本更新,一直没时间来解决,这次抽空把这个问题解决下,做一些说明记录
关于解决Chrome新版本中cookie跨域携带和samesite问题处理
热门推荐
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
axios请求携带cookie报错,后端跨域设置
最新发布
qq_67733013的博客
08-21 592
今天写项目的时候前端通过axios发生请求,可以正常发送,也可以正常获取数据。但是当我给前端axios带上cookie去请求的时候问题就来,说我跨域了。后端偷懒直接通过@CrossOrigin注解来解决跨域问题的,在使用@CrossOrigin的时候没有传递任何的值,错就错在这。这样就可以解决axios请求携带cookie时的跨域问题了。:后端需要明确告诉浏览器它允许携带凭据的请求。,必须明确指定允许的域名,例如。
【记录】Cookie跨域
weixin_48046939的博客
01-09 649
做个笔记,Cookie跨域问题、同域和同站概念
关于二级域名下使用一级域名下的COOKIE问题
09-05
我们通常在使用cookie的时候一般都只是局限在本站内使用,也就是只在一个域名下使用
两个不同域之间跨域设置cookie
riipgah的专栏
04-29 6423
应用说明: (1)两个网站域名不同才需要这样跨域设置(如:***.a.com,***.b.com ,a 和 b 不同的情况) (2)chrome浏览器内核才需要这样跨域设置(chrome edge 360 需要,firefox不需要,ie目前未试通) (3)浏览器登录a系统拿到cookie值,然后在a系统网页中带着cookie值参数调用b系统接口设置bcookie值。 1、提供cookie值一方,在网页中以ajax方式调用被设置cookie值方的接口,发送......
Cookie 跨域解决方案(顶级域名和子级域名之间的Cookie共享、修改、删除)
专注基础架构领域
01-15 3725
最近项目中刚好涉及到了域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,域名的话就拿顶级域名和二级域名为例,其他的场景都是类似。 一、设置COOKIE 1、顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成:如yangbai.com能设置domain为yangbai.com或者www.yangbai.com,但不能设置domain为login.yangbai.com,这样cookie不会生成。 以下面的代码为例:
chrome浏览器无法携带cookie跨域问题解决
lixiaonaaa的博客
06-22 6279
由于项目需要,不能在后台配置解决跨域,所以只能在浏览器上下手,着实折磨了我好一阵子。 1. 问题描述 平台跳转其他平台页面,并自动登录 浏览器: chrome 2. 解决方法 2.1 经查阅资料, chrome浏览器有跨域拦截,即sameSite不同域下无法携带cookie。解决方法为在谷歌浏览器地址栏中输入chrome://flags/,将关于sameSite的属性设置为disabled,重启浏览器即可。这是针对80版本以上的chrome浏览器。 2.2...
相同域名导致cookie_即将到来的Chrome新的Cookie策略
weixin_39831039的博客
12-02 536
历史回顾在2019年8月,Google发表一篇文章《Building a more private web》,在其中说到在当代Web的安全领域中,像Cookie一样的为了更精准地为用户推送广告的技术已经背离了它被发明时的初衷而被滥用,浏览器为了用户隐私安全而进行了一些对Cookie的屏蔽的行为。而这样的行为又导致了其它替代Cookie的技术方案被越来越多地应用(fingerprinting),比如...
如何使用localstorage代替cookie实现跨域共享数据问题
09-28
要介绍了如何使用localstorage代替cookie实现跨域共享数据问题,本文给大家带来了实现方案,使用postmessage和localstorage进行数据跨域共享问题,感兴趣的朋友一起看看吧
超简洁Chrome插件 94版本Cookie SameSite 跨站解决方案
q291947864的博客
09-30 1052
超简洁一键开启Chrome>94版本cookie共享
chrome浏览器91版本SameSite by default cookies被移除后的解决方案,Chrome跨域POST请求无法携带Cookie的解决方案
begefefsef的博客
03-03 624
周一早上一打开电脑准备开发项目时候, 突然发现网站登录跳转有异常, 怎么都登录不上一直跳回登录页. 通过抓包排除了后端的原因后, 发现后端的set-cookie没有效果, 突然想起Chrome禁用第三方Cookies的计划, 打开Edge的更新记录发现已经自动更新到Chromium 91了. 因为开发环境需要, 我们把浏览器的same-site-by-default-cookies和cookies-without-same-site-must-be-secure两项都在flag里禁用了. 但是更新到91版本
[已解决]Spring Boot Ajax跨域问题,Cookie无法获取 丢失问题
qq_52960593的博客
09-22 3351
服务端获取cookie失败报错, 注册和更改密码需要使用Cookie的功能失效, 在查找文档后发现错误来源于springboot和ajax的跨域cookie丢失问题, 由于我是刚接触后端的小白, 这里只贴出我的解决方案。在写自己项目的登录注册页面时, 因为我的注册和更改密码功能采用了邮箱验证, 在发送验证码的时候后端会向响应数据中添加一个cookie。再响应标头中分明有set-Cookie, 但是再第二次的请求标头中却找不到Cookie。在本地进行测试时, Cookie能正确添加进响应中, 也能正确获取。
跨域问题导致设置 cookie 不生效
weixin_33957648的博客
03-05 3909
我们看下跨域不生效的问题,首先抛出两个问题: 我们如何设置 cookie ? 又如何确定 cookie 设置是否生效了 ? 首先,我们实现一个简单的接口,新建一个 test.js 文件,将如下代码复制进去,通过 node test.js 启动服务,在本地就可以通过 http://localhost:3000/rest/collect/...
Cookie跨域吗?如何设置?
小草莓的博客
11-09 6251
在以上代码中,fetch 请求中的 credentials 设置为 include,并且响应头中设置 Access-Control-Allow-Credentials 为 true,就可以实现 Cookie跨域访问。对于跨域请求,在客户端需要明确指定携带 Cookie,可以通过 XMLHttpRequest 对象或 Fetch API 的 credentials 属性进行设置。在一般情况下,Cookie 是不允许跨域的。跨域设置 Cookie 只能在响应中设置,而不能在请求中设置。
踩坑记录-前端请求如果携带Cookie信息,那么后端Access-Control-Allow-Origin不能为 *...
weixin_34162629的博客
07-06 2083
踩坑记录-前端请求如果携带Cookie信息,那么后端Access-Control-Allow-Origin不能为* 知识点 前端发出的请求如果是附带身份验证(withCredentials:true) 而后端的Access-Control-Allow-Origin如果设置的是* 那么这个请求会失败,在Options预请求时会被拦截下来。 ...
解决chrome升级后跨域跳转cookie无法携带问题
lianlin21212411的博客
11-12 4884
昨天加班被一个问题困住了好久 问题描述 与同事调cas登录,用的方式为使用iframe访问后台一个接口,为了让iframe自动跳转到cas最终带回cookie,这样后边的接口都可以带着cookie进行访问了。但问题是我机器一直在页面和cas登录页面来回跳,但我同事的机器没有问题问题定位 我的机器是chrome92,我同事的机器是chrome64,通过对比两个人的网络请求参数发现,我的iframe请求跳转到cas登录页面没有带着cookie信息,而我同事的带着cookie信息 问题解决 现在知道是什么原
前后端分离项目跨域Cookie方面的问题
weixin_44815852的博客
08-05 1282
前后端分离项目跨域导致的问题 问题背景 先讲一下我的问题背景,最近写完了一个vue+ssm的前后端分离的项目,本地运行完全是没有问题的,然后部署到两个服务器上,一个用Tomcat部署后端提供API,一个用nginx部署前端问题就产生了: 部分Cookie(准确的说是我提供的Cookie无法跨域传递 我用Network看了具体情况就是只有向前端网站发送的请求中带有我的cookie(之后直接说成token,我用token做的验证),而发向后端网站的请求全部没有携带token,一开始以为是我的coo
使用SameSite Cookie增强Web应用安全防护
因此,开发者在使用SameSite Cookie时需要考虑到兼容性问题,可能需要结合其他安全措施,如CSRF令牌,来保护不支持SameSite属性的浏览器用户。 知识点四:PHP中间件的使用 文档提到的"PSR-15中间件"指的是PHP中间件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值