谷歌浏览器新版本Chrome 80默认SameSite导致跨域登录状态失效的问题

最新推荐文章于 2024-05-21 09:04:12 发布
最新推荐文章于 2024-05-21 09:04:12 发布
阅读量3.9w 收藏 61
点赞数 13
分类专栏: 随笔 文章标签: SameSite Chrome 谷歌浏览器 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36521655/article/details/104844667
版权

大概新年新气象吧,大家复工之后都追求一个“新”,不少用户升级到了Chrome 80,然后发现登入成功之后总是重定向回单点登录的统一登录页,然后头秃的我感觉头上更凉了。

定位问题

生产环境出了问题,肯定得赶紧寻找问题根源啊。(三步走路子)

  • 第一步,最先以为cookie失效的问题,于是远程用户,发现浏览器cookie设置正常,域名下cookie也有值,但就是带不过去后台,于是开始怀疑跨域出了问题。
  • 第二步,遂检查Nignx配置,CORS配置正常,那就不是后台的问题,应该是浏览器的锅。
  • 第三步,顺着这条路子,最后发现是Chrome 80版本的一个新特性搞的鬼。

在Chrome 80版本中,Chrome会将没有声明SameSite值的cookie默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的cookie可以从外部访问,前提是通过安全连接(即HTTPS)访问。

SameSite又是个啥?(T︵T,为啥那么多我不知道的东西),哎,慢慢道来。

什么是SameSite

SameSiteCookie中的一个属性,它用来标明这个 cookie 是个“同站 cookie”,“同站 cookie” 只能作为第一方cookie,不能作为第三方cookie,因此可以限制第三方Cookie,解决CSRF的问题。不知道CSRF的看着这个。早在Chrome 51中就引入了这一属性,但是不会默认设置,所以相安无事。

第三方Cookie:由当前a.com页面发起的请求的 URL 不一定也是 a.com 上的,可能有 b.com 的,也可能有 c.com 的。我们把发送给 a.com 上的请求叫做第一方请求(first-party request),发送给 b.comc.com 等的请求叫做第三方请求(third-party request),第三方请求和第一方请求一样,都会带上各自域名下cookie,所以就有了第一方cookiefirst-party cookie)和第三方cookiethird-party cookie)的区别。上面提到的 CSRF 攻击,就是利用了第三方 cookie可以携带发送的特点 。

“同站cookie”不是根据同源策略判断,而是PSL(公共后缀列表),子域名可以访问父域名cookie,但父域名无法访问子域名cookie

SameSite总共有三个值:StrictLaxNone。以下内容引自阮一峰博客

  1. Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如像本人当前遇到的现象,cookie带不过,等于一直没有登录状态,就会回到登录页。

  1. Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Chrome 80之后默认设置为该值。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="…"></a>发送 Cookie发送 Cookie
预加载<link rel=“prerender” href="…"/>发送 Cookie发送 Cookie
GET 表单<form method=“GET” action="…">发送 Cookie发送 Cookie
POST 表单<form method=“POST” action="…">发送 Cookie不发送
iframe<iframe src="…"></iframe>发送 Cookie不发送
AJAX$.get("…")发送 Cookie不发送
Image<img src="…">发送 Cookie不发送

设置了StrictLax以后,基本就杜绝了CSRF攻击。当然,前提是用户浏览器支持 SameSite 属性。

  1. None

浏览器会在同站请求、跨站请求下继续发送cookies,不区分大小写。网站可以选择显式关闭 SameSite 属性,将其设为 None同时必须设置 Secure 属性(表示Cookie 只能通过 HTTPS 协议发送,HTTP协议不会发送),否则无效。

下面为无效响应头:

Set-Cookie: widget_session=abc123; SameSite=None

————————————2020.11.18日更新————————————

根据谷歌文档Reject insecure SameSite=None cookies中所述,85版本后默认启用“拒绝非安全的samesite=none的cookie”这一特性,要同时显式声明secure=true,这个cookie才能跨域携带。

下面为有效响应头:

// Set-Cookie: widget_session=abc123; SameSite=None; Secure // 原文
Set-Cookie: widget_session=abc123; SameSite=None; Secure=true // 2020.11.18更新

解决办法

本人项目中,采用单点登录,在验证登录状态时存在跨域,即采用JSONP的方式获取JWT等相关信息,然后写入本项目域名下的cookie中,满足Lax属性值表单中的AJAX请求,所以不会发送Cookie

准确定位到问题,就好办了。这里想到了两种解决方法:

  1. 显示关闭SameSite属性,按照上述有效响应头设置登录接口的响应头即可(本人目前采取的该方法)。直接配置Nginx也行,最先采用的这种方法。
//...
response.setHeader(name: "Set-Cookie", value: "_u=xxxx; Path=/Login; SameSite=None; Secure=true")
//...

最后响应头如下:
在这里插入图片描述
2. 浏览器显式关闭该功能。(不推荐,这个功能还是蛮有用的)

  • 地址栏输入:chrome://flags/
  • 找到SameSite by default cookiesCookies without SameSite must be secure
  • 将上面两项设置为 Disable

参考

  1. http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

  2. https://www.ithome.com/0/471/735.htm

  3. https://www.chromestatus.com/feature/5088147346030592

  4. https://chromestatus.com/feature/5633521622188032

chrome浏览器samesite相关特性可以查看https://chromestatus.com/features#samesite

随风丶逆风
关注
  • 13
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 46
    评论
专栏目录
80版本后谷歌浏览器跨域cookie丢失原因及通过HttpCookie设置SameSite的解决办法
qq_25708927的博客
08-08 2723
1、跨域cookie丢失原因以及处理 2、如何将cookie中SameSite属性设置为None
Chrome浏览器强制http重定向到https的简单方法
lchengcome的专栏
11-08 1677
有的朋友修改host进某些网站,但每次进入都是诸如 http://twitter.com ,大多时候有可能进不去。前段时间就算修改了,输入http://plus.google.com ,G+也是也进不去的,需要手动修改http为https,方能进入。 今天,在Google+看到一篇介绍Chrome浏览器强制http重定向到https的简单方法,搬到这里来,纯粹的Chrome技巧。
新版谷歌浏览器CROS跨域问题
最新发布
超梦梦梦梦的博客
05-21 409
搜索Block insecure private network requests,将其设置为Disabled。关闭谷歌浏览器重新打开网页。
SameSite Cookie支持的浏览器版本
u011165335的博客
03-21 2070
查看支持情况: https://caniuse.com/#search=SameSite 其中IE11,只有win10才支持; 谷歌的浏览器51版本支持,80版本开始默认设置; 具体可以看: https://www.lizenghai.com/archives/47337.html ...
新版本chrome浏览器带来的跨域请求cookie丢失问题
junjiahuang的博客
08-15 2597
近期业务线上出现问题,嵌套的页面莫名丢失cookie; 经深入排查,发现新版本chrome浏览器(80版本之后)对cookie的校验更加严格,有页面嵌套的可能会出现问题chrome升级到80版本之后(最坑的地方:灰度测试,即也可能存在同一版本不同人的浏览器表现不同),cookie的SameSite属性默认值由None变为Lax,该问题的讨论可参考:https://github.com/google/google-api-javascript-client/issues/561 在Lax模式下,以下类型
google浏览器高版本 跨域第三方cookie(qlik)无法携带问题解决
lgq2016的博客
04-20 1814
报表门户网站多租户改造时,某个租户访问网站的域名属于外网(假设为:a.niu.com) 和集成的qlik报表服务域名不同(假设为:qlik.diao.com),这时候diao.com的cookie无法从当前站点a.niu.com携带到qlik.diao.com,这个问题目前常用的解决方案就是:第三方服务器设置cookie的属性:SameSite=None; Secure 即可。下面是samesite属性的简单介绍: SameSite 有3个值 1. Strict Strict最为严格,完全禁止第三方 Co
解决chrome升级后跨域跳转cookie无法携带问题
lianlin21212411的博客
11-12 4674
昨天加班被一个问题困住了好久 问题描述 与同事调cas登录,用的方式为使用iframe访问后台一个接口,为了让iframe自动跳转到cas最终带回cookie,这样后边的接口都可以带着cookie进行访问了。但问题是我机器一直在页面和cas登录页面来回跳,但我同事的机器没有问题问题定位 我的机器是chrome92,我同事的机器是chrome64,通过对比两个人的网络请求参数发现,我的iframe请求跳转到cas登录页面没有带着cookie信息,而我同事的带着cookie信息 问题解决 现在知道是什么原
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件中开启mod_header模块  LoadModule ...
iframe跨域与session失效问题的解决办法
10-26
主要介绍了iframe跨域与session失效问题的解决办法,有需要的朋友可以参考一下
Allow-Control-Allow-Origin-2022-11-23 谷歌浏览器跨域组件
07-11
总结来说,这个压缩包中的内容是针对谷歌浏览器跨域问题的解决方案,包括一个Chrome扩展和一份使用说明。这个扩展可能通过修改响应头来帮助开发者绕过同源策略的限制,实现跨域请求。在实际使用中,需要注意安全性...
配置设备打印时,谷歌浏览器跨域配置
03-11
谷歌浏览器Chrome)作为最常用的浏览器之一,其对于跨域的处理方式是开发者需要掌握的关键技能。本文将详细介绍如何在不同版本的谷歌浏览器中进行跨域配置。 首先,我们来看如何查看浏览器的版本号。在Chrome...
SameSite Cookie导致跨域请求session保持失效
闫玉林的博客
10-29 2401
引入原因 浏览器安全性 防止跨站攻击CSRF等 废除第三方cookie cookie简介 Cookie 是通过 web 浏览器从网站发送并存储在计算机上的文本字符串。 它们通常用于身份验证和个性化设置,例如,撤回有状态的信息、保留用户设置、录制浏览活动以及显示相关广告。 Cookie 始终链接到特定域,并且可以由各方安装。 Cookie 和 HTTP 请求 在引入 SameSite 限制之前,cookie 存储在浏览器中时,它们被附加到每个HTTP web 请求,并通过设置 Cookie HTTP 响应
跨域问题解决
weixin_30340617的博客
11-22 93
跨域问题出现源于:1、协议号不同;2、域名不同;3、端口号不同; 第一种后台处理:在php文件头部写上header('Access-Control-Allow-Origin:调用本文件的网站域名'); 第二种jsonp处理: 前端操作 $.ajax({ url:"xxxxxxxxxxxxxxxxxxxxx", dataTyp...
Chrome浏览器升级80以后导致重定向自动登录失效问题记录和解决方案
gu_study的博客
09-30 3629
问题 Chrome 浏览器升级到80版,针对sameSite设置更加严格,默认不允许设置第三方Cookie 查阅资料都是讲述为什么Chrome采取更加严格的cookie设置策略,没有详细的解决方案 我的情况说明,希望对你们有参考价值 环境:因为本站被嵌入到其他产品中使用,需要在iframe中实现自动登录,相当于我们站点是第三方在人家的产品中设置cookie来实现自动登录 参考资料 sameSite 介绍:https://www.cnblogs.com/gxp69/p/12565927.h..
samesite,谷歌浏览器改变Cookie的session_id,造成跨域
qq_59208151的博客
09-06 1061
samesite,chrome,跨域
谷歌浏览器SameSite=lax导致嵌入Iframe 地址无法设置cookie问题
热门推荐
ysyysjbama的博客
08-17 1万+
问题描述: 页面中通过Iframe嵌入了另外一个网页,但是嵌入的网页无法设置cookie导致无法访问。仔细检查,在浏览Set-cookie的响应头出发现提示:This Set-Cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=lax", and was blocked because it came from a cross-site response which was not the r...
解决新版谷歌Chrome浏览器Cookie跨域失效问题
zhiwenganyong的博客
06-25 6643
解决新版谷歌Chrome浏览器Cookie跨域失效问题
springboot手动配置SameSite导致springsessiondataredis失效
少年有事问春风
09-12 927
springboot手动配置SameSite导致springsessiondataredis失效
谷歌浏览器跨域丢失Cookie问题
YangzaiLeHeHe的博客
10-23 4534
文章目录谷歌浏览器跨域丢失Cookie问题一、问题背景交代二、分析2.1、整体调用链路2.2、复现2.3、分析三、原因四、解决4.1、治标4.2、治本 谷歌浏览器跨域丢失Cookie问题 一、问题背景交代 公司内部系统A页面内嵌系统B的界面。当在A系统的界面中点击B系统图标跳转时此时跨域导致跳转后的界面空白,A系统会向B系统发送一些请求参数,而B系统没有拿到这些参数,导致重定向后的界面空白。 二、分析 2.1、整体调用链路 2.2、复现 这个问题Chrome浏览器【我本地的】100%复现,后来切换到了
谷歌浏览器跨域问题解决
02-16
当使用谷歌浏览器时,可能会遇到跨域问题,这是因为浏览器的同源策略(Same-Origin Policy)会阻止不同源(Origin)之间的访问。 解决跨域问题的方法有以下几种: 1. JSONP:通过script标签加载跨域的JS文件,利用JS函数的回调来获取数据。 2. CORS:跨域资源共享(Cross-Origin Resource Sharing),是一种新型的跨域解决方案,需要服务端设置允许跨域访问的响应头信息。 3. 代理:使用服务器端代理来实现跨域访问,即客户端请求同源服务器,同源服务器再请求目标服务器,最后再将结果返回给客户端。 4. window.postMessage()方法:该方法允许跨窗口通信,可以通过该方法来实现跨域数据传输。 以上是几种常见的解决跨域问题的方法,具体的实现方式需要根据具体情况来选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 46
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值