samesite,谷歌浏览器改变Cookie的session_id,造成跨域。

已于 2022-09-08 16:03:00 修改
阅读量1.1k 收藏
点赞数 1
文章标签: 前端 服务器 chrome
于 2022-09-06 10:40:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59208151/article/details/126719258
版权

问题描述:小编这边写的是vue2后台,后端是php工程师,我这边在写一个登录功能,因为后端做了一个配置session_id,他的功能就是检查是否是同一个用户,多台设备登录的情况,起到一个安全作用(如果不一致是无法跳转到首页的,后端做了限制),可以在network的请求信息里看到Cookie里面的配置数据每个请求里面的Cookie参数不一致,所以就产生了跨域问题

介绍:SameSite是Cookie中的一个属性用来限制第三方Cookie,从而减少安全风险。Chrome 51 开始,浏览器的Cookie新增加了一个SameSite属性(三个值-->Strict,Lax,None),用来防止CSRF攻击和用户追踪。

1.Chrome/Edge 91版本之前

地址栏输入**chrome://flags**并回车
搜索栏中输入**SameSite by default cookies**搜索,会有两项设置
改为**Disabled**后重启浏览器即可

2.Chrome/Edge 91版本之后就不能设置,现在我们的谷歌浏览器大多数都高于这个版本,不可能因为这里就去降低版本

3.火狐浏览器是没有这个配置的,所以在火狐浏览器上是可以正常登录的

解决方案:解决的办法就是叫后端解决,他们配置一下相对来说非常的简单。

两次请求,请求头携带的PHPSESSID必须一致,否则就会产生跨域问题,

 

 

 

 

A boy9528
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
谷歌浏览器跨域导致session失效
qq_37301074的博客
07-28 2576
项目A中iframe框架访问项目B中的页面,AB项目是不同的域名,其它浏览器正常访问调取数据(火狐、360等),唯独谷歌浏览器session失效。在项目B的页面中加入以下代码,服务器端生完session,但客户端未能正常接收,则可参考以下代码,手动传cookie值。Chrome51开始,浏览器的Cookie新增加了一个。谷歌默认SameSite属性的为。,大家可根据自己的情况来调试,我的。但以上未能解决我的问题。最终解决方法一行代码。......
Chrome浏览器JSESSIONID丢失
zhj9705的博客
05-15 1556
Chrome查看网站信息,发现JSESSIONID丢失,检查是冲突,故改名! Tomcat在没有做任何特殊配置的情况下其sessionCookieID为 JSESSIONID(sessionId 是通过浏览器Cookie 来存储和传递的)。 修改Tomcat 的 conf/server.xml 文件,修改接近文件最下面的 <Context ………… /> 元素, 新增sessionCookiePath和sessionCookieName,sessionCookieName修改为其他名称即可。
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
最新发布
weixin_39459811的博客
07-05 402
将SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
谷歌浏览器页面请求服务IP与页面IP不一致时,每次session id都不一样
小嘞嘞的专栏
03-17 1716
问题描述: 页面ip与服务端ip不一致时 每次请求session id 都不一样 ,但其他浏览器无此现象。 解决方案: 造成该现象的原因是谷歌浏览器SameSite安全机制问题,浏览器在跨域时不允许请求携带cookie。所以每次session id都是新的。 浏览器地址栏中输入chrome://flags/ 搜索关键字SameSite将下图中圈画的设置设为disabled,关闭浏览器,重新打开后即可,便不会有不同session id 的现象。 ...
Chrome不保存sessionIdChrome浏览器改变SameSite设置
tcllxxl的博客
08-13 2588
原文:https://www.lizenghai.com/archives/56035.html#i-2 Chrome 80 默认将没有设置SameSite设置为SameSite=Lax 谷歌浏览器地址栏输入:chrome://flags/ 找到:SameSite by default cookies、Cookies without SameSite must be secure 设置上面这两项设置成 Disable ...
在过滤器中修改HttpServletRequest 的cookies的sessionid
hua_yan_ling的博客
11-08 3627
1.先写一个过滤器类,在过滤器中获得原有的request中的cookies,再new一个ModifyParametersWrapper对象,调用putHeader()去修改cookies中的sessionId public class SessionFilter extends Filter { public static final String SESSION = "SESS...
Mac使用新版本Google浏览器,前端访问后台接口跨域,无法携带cookie问题
memory_zzz的博客
08-25 806
解决方法: 1.关闭谷歌浏览器(一定要彻底退出谷歌浏览器) 2.打开终端 3.在终端中输入: open -a "Google Chrome" --args --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure 4.此时再次访问后台接口就可以成功传递cookie并且访问接口了~ ...
session深入探讨
java面试笔试
07-03 138
简介session(会话),其实是一个容易让人误解的词。它总跟web系统的会话挂钩,利用session,javaweb项目实现了登录状态的控制。坊间流传,关闭浏览器,就是...
Chrome 同站策略(SameSite)问题
weixin_46607967的博客
10-12 1614
iframe中输入账号密码后登录无法跳转
chrome session丢失_一文彻底搞懂CookieSession、Token到底是什么
weixin_39950470的博客
11-20 380
欢迎关注专栏《Java架构筑基》——专注于Java技术的研究与分享!Java架构筑基Java架构筑基——专注于Java技术的研究与分享!后续文章将首发此专栏!欢迎各位Java工程师朋友投稿和关注一、Cookie洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛:马冬梅啊。 大爷:马什么没? 夏洛:行,大爷你先凉快着吧。在了解这三个概念之前我们先要了解...
chrome浏览器每次请求都会产生一个新的session的问题,chrome为了增强安全性,新增了一个SameSite的属性
一个学习Java开发的老头
12-12 1274
问题的最直接现象就是每次请求在后台过滤器里通过request.getSession().getId(),拿到的id都是不同的,导致后面出现一些不正常的结果。或者在 Shiro的权限控制中,通过session设置token信息,在授权的时候想要通过SecurityUtils.getSubject().getSession()获取session后,通过session.getAttribute()获取不到之前session.setAttribute()设置的token信息。
cookiesession的区别
darabiuz的博客
03-05 543
1. http协议是无状态的协议 Http是一个无状态的协议,每一次请求是独立无关联的,服务器是无法识别两次请求是不是同一个客户发送的,比如访问个人博客网站,肯定要登录,那么浏览器端向服务器端发送http请求,并带上账号和密码信息,服务器端对账号密码进行验证,响应给客户端,假如客户端收到登录成功的信息,说明此刻登录完成了,客户进入个人中心页面,又需要向服务器请求个人中心的数据,由于HTTP请求属于是无状态的,第一次请求和第二次请求没有联系,那么服务器端根本就不知道用户是否已经登录了,那更别提怎么返回特定用
【JavaWeb】(血泪踩雷史...)Token登录前后端交互及跨域问题
wayne_lee_lwc的博客
04-14 2632
hello,我是卷卷毛,我又来啦, 咱们书接上回,上一节我们讨论了一种基于token验证方式的登录方案,文章在这里: 【JavaWeb】实现基于Token方式的用户登录 上节的内容,简单些说,就是介绍了一种实现用户登录的方式。 服务端在校验用户的账号密码信息无误后,为用户生成一串token作为口令返回给用户。之后,按照约定,用户在访问后端时将token添加在请求头中,发送给后端。后端根据头部中的token信息校验用户的登录状况。 那么这一节,承接上回,我们要解决这一登录方案的前后端交互问题,焦点在于to
接口测试之协议和常用工具安装使用
紫陌翌晨
05-13 1057
一、网络协议 二、协议分析工具 网络监听(偏底层的协议):TcpDump + WireShark 代理Proxy 推荐工具:手工测试charles[全平台]、安全测试burpsuite[全平台java] 自动化测试:mitmproxy 其它代理:fiddler everywhere[全平台]、AnyProxy[全平台] 协议客户端工具:curl、postman 2.1、tcpdump 参数 -x 抓取到的数据包以十六进制展示 -w file 抓取的数据包保存到文件 表达式 ip tcp 协议 h
前端200道面试题及答案(更新中)
热门推荐
m0_65450343的博客
06-11 11万+
目录html相关说一下对cookie和Storage(localStorage和sessionStorage) 的认识和区别?link和@import的区别浏览器如何实现不同标签页的通信?iframe的优缺点canvas做项目用到哪些h5新特性和css3新特性?用localstorage和sessionStorage写过什么?如何解决页面内容加载缓慢的问题?cookie的特点*页面渲染过程css相关javascript以及es6相关http相关浏览器bootstrapvue相关node相关微信小程序reac
用户登陆成功修改SessionId
weixin_41591944的博客
12-09 4289
问题场景 用户进入登陆页面的时候会生成一个SessionId,登陆成功后会带着这个一开始生成的SessionId进行后续的操作,但是这样的话就有一个问题,恶意攻击者可以抓取一开始的这个SessionId去伪造请求,所以登陆成功后需要更新SessionId,并且让浏览器的Cooike也随之修改。 解决方案: 其实是一个很简单的修改办法,但是百度了很久,都是一些不管用的,所以自己去看了一下HttpRequset接口里面的代码。 req是HttpServletRequest ...
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 2077
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端传来的Cookie可以在前端正常保存,但当前端向后端请求时携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
记一次浏览器SameSite策略更新,导致接口 Failed to load response data 的解决过程
liyoro的专栏
01-22 4994
浏览器SameSite策略更新,会导致前端不发送Cookie造成接口不返回数据,也就是Failed to load response data问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值