浏览器安全机制-----Samesite

最新推荐文章于 2022-11-01 19:26:14 发布
最新推荐文章于 2022-11-01 19:26:14 发布
阅读量755 收藏 1
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reffrselom/article/details/107713996
版权

iframe内嵌其它系统登录页:
开始是可以登陆成功的,过了几天,突然无法登陆了,而浏览器直接访问内嵌系统,还是正常登录的,
这是为什么呢? 看到如下警告信息:
在这里插入图片描述
“Samesite”,这可是第一次见,于是查一查:

现象
火狐可以、chrome版本<80可用
问题了解
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
Chrome升级到80版本后,默认限制了cross-site携带cookie,导致cookie失效
我这里就是iframe嵌如页面来进行登录,应该就是被当成了第三方cookie,导致无法读写浏览器cookie信息了

这里还涉及一个P3P协议的问题
火狐不支持P3P协议,故不受影响

后面会继续结合单点登录实践这个问题,后续跟进更新~

**参考地址:https://blog.csdn.net/zhoudingding/article/details/107374885
https://blog.csdn.net/qq_37788558/article/details/104484888?
**https://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html
https://blog.csdn.net/qq_42999924/article/details/105160937

reffrselom
关注
专栏目录
hadoop配置文件详解系列(一)-core-site.xml篇
关于代码的那些事
03-09 4421
导读:关于hadoop的配置文件,目前其它网站资料中都是只写了几个常用的属性配置,但平时可能也会用到其它属性,这里就一起写出来,供大家参考。本篇先从core-site.xml开始,后续将继续进行其它配置文件的梳理。 属性名称 属性值 描述 hadoop.common.configuration.version 0.23.0 配置文件的版本。 hadoop.tmp.dir /tmp/hadoop-${user.name}
跨站点请求伪造攻击 - Cross Site Request Forgery (CSRF)
最新发布
悟已往之不谏,知来者之可追
01-17 253
最好理解CSRF攻击的方式是看一个具体的例子。假设你的银行网站提供一个表单,允许当前登录用户将钱转账到另一个银行账户。例如,转账表单可能如下所示:
similar-sites:该项目是将Firefox扩展的SameSites 3.0重建为旧版https
05-19
项目名 该项目是将Firefox扩展SameSites 3.0重建到旧版。 原始版本是使用构建的。 安装 下载此并将其安装在Firefox中。 用法 待办事项:编写使用说明 执照 此项目受Mozilla Public License v。2.0约束
java设置cookie浏览器中没有_ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用...
weixin_39650784的博客
11-27 193
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录时 Antiforgery Token 总是验证失败。日志中记录的对应错误是Antiforgery token validation failed. The required antiforgery cookie "xxx.Antiforgery" is not present.今天在 QQ浏...
Cookie 的 SameSite 属性
weixin_49896519的博客
11-12 362
Cookie 的 SameSite 属性 关于 cookie的问题,本来以为是小毛病,谁知道在一个前端群里居然被人讨论了一上午。 正常启动一个项目,直接登录就可以了,但是有些并不是。 解决方法如下: 方法一 : 1、在线上登录项目,这里指已经发版到线上(SIT、UAT环境均可) 2、启动本地代码,再次登录本地项目 方法二 : 下载一个 【火狐浏览器】 ,直接登录本地项目。 (此方法是我遇到这个问题后直接使用,亲测!) 方法三 : 1.浏览器地址栏输入: chrome://flags/ 2.SameSite
html5新增属性cookies,关于cookie的SameSite属性
weixin_34357833的博客
06-03 1067
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性大致在这里就概况下1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面:Cookie 往往用来存储用户的身份信息...
html5中http服务默认端口号,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_29570795的博客
06-27 847
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookie。Cookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
lift-samesite-cookie-workaround
04-06
"lift-samesite-cookie-workaround"这个项目专注于解决在使用Scala编程语言时遇到的同站(SameSite)Cookie问题。同站Cookie是浏览器为了防止跨站请求伪造(CSRF)攻击和增强用户隐私而引入的一种机制。然而,在某些...
web5-HTTP/HTTPS
growing_duck的博客
11-01 1868
http 和 https解析
cookie-status-dev:cookiestatus.com网站是主要浏览器浏览器引擎实现的各种跟踪保护机制的学习资源。
05-04
然而,随着对用户隐私的关注日益增加,浏览器开始实施各种跟踪保护机制,如Do Not Track、Third-party Cookie Blocking、SameSite Cookie属性以及最近的 Intelligent Tracking Prevention (ITP) 和Privacy Sandbox等...
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性。
记一次浏览器SameSite策略更新,导致接口 Failed to load response data 的解决过程
liyoro的专栏
01-22 5055
浏览器SameSite策略更新,会导致前端不发送Cookie,造成接口不返回数据,也就是Failed to load response data问题
【信仰充值中心】Firefox 96 正式版用户特性介绍
龙哥盟
02-12 302
来源:https://bbs.popkart.org/?thread-113.htm 此版本首发于 2022 年 1 月 11 日,主要内容为安全及性能优化,参考官方日志和 Ghacks。 一、改进 WebRTC 的语音通话体验 我们可以通过 WebRTC 在浏览器中进行音视频通话。 现在的 Firefox 在噪声抑制和自动增效方面做出了重大改进,同时也为回音消除做了些许优化,于是有更好的使用体验。 在这里可以看到 API 文档,以下是其工作流程。 二、强制执行的 Cookie 策略 Fire..
samesite,谷歌浏览器改变Cookie的session_id,造成跨域。
qq_59208151的博客
09-06 1135
samesite,chrome,跨域
解决新版chrome浏览器SameSite属性cookie拦截问题
carry_chenxiaodong的博客
03-02 1万+
问题现象: 最近升级了新版chrome浏览器后,发现系统正常iframe嵌套其他域名网站页面突然无法显示了,页面空白,但是请求未报错。 原因还原: 1、将嵌套页面的url单独窗口访问,一切正常(页面显示正常,页面请求正常获取cookie信息),排除iframe页面问题。 2、进一步尝试,将这个带有链接的iframe放在一个全新的html文件中也不能正常访问,排除当前系统的iframe加载问题。 3、刚刚新建的html文件在火狐浏览器中打开可以正常访问。 4、新版chrome浏览器访问...
chrome浏览器解决跨域请求SameSite方案(cookie没有传)
qq_34231078的博客
06-08 1276
1、在chrome浏览器地址栏输入chrome://flags并回车 2、在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 3、点击右下键ReLaunch重启浏览器即可
新版chrome跨域问题:cookie之SameSite属性
热门推荐
cnq2328的专栏
03-27 3万+
新版chrome跨域问题:cookie之SameSite属性 原创dominx 最后发布于2020-03-16 16:00:02 阅读数 299 收藏 展开 最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时...
解决CHROME 80版本以后,SAMESITE COOKIE验证跨站问题
王永存
12-11 6067
解决方案: 1.打开chrome 浏览器 2.地址栏输入chrome://flags/#same-site-by-default-cookies 3.分别把same-site-by-default-cookies 和 cookies-without-same-site-must-be-secure 设置为Disabled 4.然后重启浏览器
Because a cookie’s SameSite attribute was not set or is invalid, it defaults to SameSite=Lax, which prevents the cookie from being sent in a cross-site request. This behavior protects user data from accidentally leaking to third parties and cross-site request forgery.
06-01
你的问题是关于同源策略和SameSite属性的。同源策略是浏览器的一种安全机制,它限制了一个页面从另一个源加载资源的行为。SameSite属性是一种Cookie属性,用于限制Cookie的发送行为,以防止跨站点请求攻击和数据泄漏。如果SameSite属性未设置或设置无效,则默认为SameSite=Lax,这将阻止Cookie在跨站点请求中发送。这种行为保护用户数据不被意外泄漏给第三方和跨站请求伪造。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值