独立窗口Cookie 丢失的问题

最新推荐文章于 2023-05-16 09:55:50 发布
最新推荐文章于 2023-05-16 09:55:50 发布
阅读量257 收藏
点赞数
文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssk0411/article/details/115147619
版权

文章目录

遇到问题

今天开发独立窗口的时候遇到了一个bug,前端请求的cookie并未设置成功,由于获取不到cookie,后续操作也无法进行

解决问题

经过排查发现是nginx配置了cookie SameSite=strict, 删除即可

知识点

什么是SameSite呢

Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

什么是CSRF攻击呢

Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。

举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。

Set-Cookie:id=a3fWa;

用户后来又访问了恶意网站malicious.com,上面有一个表单。

<form action="your-bank.com/transfer" method="POST">
  ...
</form>

用户一旦被诱骗发送这个表单,银行网站就会收到带有正确 Cookie 的请求。为了防止这种攻击,表单一般都带有一个随机 token,告诉服务器这是真实请求。

最低0.47元/天 解锁文章
Patrick Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SameSite cookie 理解与设置
隔壁老瓦的专栏
08-15 1575
此功能仅在(HTTPS)、部分或所有中可用。HTTP 响应标头的SameSite属性允许您声明您的 cookie 是否应限制为或同一站点上下文。与 CookieSameSiteSameSite如果未指定cookie 发送行为是. 以前的默认设置是为所有请求发送 cookie。带有必须的 Cookie现在还指定Secure属性(它们需要安全上下文/HTTPS)。如果使用不同的方案 (或)发送来自同一域的 Cookie,则不再将其视为来自同一站点。本文记录了新标准。...
腾讯三面:Cookie的SameSite了解吧,那SameParty呢?
frontend_nian的博客
04-16 1811
才弄清cookie的same-site,又出来一个same-party!
Cookie 的 SameSite 属性
qq_33207223的博客
10-15 2112
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:i...
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击和用户追踪)
qq_44700839的博客
10-20 497
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击和用户追踪) 遇到的问题: 新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 从 Chrome 51 开始,浏览器的 Cookie,新增加了一个 SameSite属性,用来防止 CSRF攻击和用户追踪。该设置当前默认是关闭的,但在 Chrome 80 之后,该功能默
Cookies的SameSite属性
weixsun的博客
04-19 2119
自Chrome 51版本开始,浏览器的 Cookies 新增了一个SameSite属性,用来防止 CSRF 攻击和信息泄漏,更多信息参考chrome Feature: 'SameSite' cookie attribute。 简单回顾什么是CSRF攻击 Cookies往往用来存储用户的身份信息,恶意网站通过设法伪造带有正确Cookies进行 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Coo
IE8浏览器如何实现多用户登录同一网站?.docx
09-26
这一步至关重要,因为“新建会话”不同于“新建窗口”或“新建选项卡”,它创建的是一个独立的浏览器实例,拥有自己的Cookie存储空间。 3. 现在,你会看到一个新的IE浏览器窗口出现。虽然外观上与普通窗口无异,但这...
2020春招 字节 广州 面经1
08-04
- **TCP的安全性和性能问题**:包括拥塞控制、滑动窗口、慢启动等。 16. **操作系统问题**: - **Linux查看端口占用**:使用`lsof -i:端口号`命令。 - **进程同步方法**:信号量、管程、条件变量等。 17. **LRU...
计算机网络冲刺班模拟试题
04-10
当接收窗口内的序号为4时,收到正确的5号帧,应将5号帧缓存并通知发送方,将窗口滑动到5号,这样可以确保不丢失任何数据。 4. **以太网碰撞算法**:以太网中,当两个节点同时发送数据导致冲突,会使用二进制指数...
LocalStorage Sync-crx插件
04-02
每个域名有独立的5MB存储空间,可以用来存储键值对形式的数据。LocalStorage是持久化的,意味着一旦数据被写入,除非被显式删除,否则将持续存在。LocalStorage Sync-crx插件的核心就是同步这些数据,确保用户在任何...
图解TCP、http知识
10-29
同时,TCP使用滑动窗口协议来控制流量,防止拥塞,并通过确认重传机制确保数据的可靠性,即使在网络中丢失了某个分组,也能重新发送。 **HTTP:超文本传输协议** HTTP是应用层协议,主要用于Web浏览器与服务器之间...
网站开发跨域名iFrame嵌入之SameSite&CSRF
rav009的专栏
01-10 1618
简而言之,就是这种攻击手段利用了iframe或其他一些技术,是A域名的网站能访问B域名的session和cookie,进而甚至于能让A域名的网站利用session和cookie中的信息伪装成用户向B域名发起请求。想象一下A域名是一个银行网站,那么B域名就能伪装成用户请求银行转账了。当SameSite等于Lax或Strict时,iframe中的不同域名的页面不会被允许访问session。最近使用Flask开发了一个网站的应用,要实现在iframe中嵌入一个来自不同域名的页面。
chrome浏览器iframe嵌套页面跨域无法获取cookie问题(SameSite 属性)
热门推荐
carry_chenxiaodong的博客
03-02 2万+
iframe
Cookie Samesite简析
最新发布
の博客
05-16 353
Cookie Samesite简析
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3542
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
浏览器cookie中SameSite的理解
qq_39217871的博客
04-10 5494
浏览器cookie中的SameSite的理解 浏览器中的cookie信息,可以用于保存用户登录某个站点的信息保存,保持其用户验证的状态。但是cookie又是每次随着请求会自动发送到服务器去的,这就给了其他站点发起CSRF攻击和用户追踪的机会。 于是就有了cookie的SameSite属性,用于限制第三方网站的cookie发送机制,具体如下: 1. Strict 最严格的模式,完全禁止跨站点请求时携...
谷歌浏览器SameSite=lax导致嵌入Iframe 地址无法设置cookie问题
ysyysjbama的博客
08-17 1万+
问题描述: 页面中通过Iframe嵌入了另外一个网页,但是嵌入的网页无法设置cookie,导致无法访问。仔细检查,在浏览Set-cookie的响应头出发现提示:This Set-Cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=lax", and was blocked because it came from a cross-site response which was not the r...
Chrome 80及以上版本 中 Iframe 跨域 Cookie 的 Samesite 问题
xzx66666的博客
10-20 1671
Chrome 80及以上版本 中 Iframe 跨域 Cookie 的 Samesite 问题  新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 一开始以为后端出问题了,后来换火狐、ie edge 都是可以的,并且其他人的Chrome也有可以用的。 并且接口设置cookie时提示:“this set-cookie didnot specify a "same
chorme 80浏览器 的iframe 报错samesite的问题
qq_41566366的博客
08-04 2206
我们有三个站,为了实现登录状态的同步,使用了iframe。但是在使用iframe的时候,一直samesite的错,经过公司大佬查询才发现,这是因为chrome升级到80版本后,默认开启了samesite。 快速解决方案: 1、打开Chrome设置,将chrome://flags/#same-site-by-default-cookies禁用,然后重启浏览器。 2、将SameSite属性值改为None, 同时 将secure属性设置为true。且需要将后端服务域名必须使用https协议访问。 3、由于
Iframe内嵌Cookie传递丢失问题的解决方法
05-13
在Iframe内嵌Cookie传递丢失问题的解决方法中,有一些常见的解决方案: 1.使用同域名下的Cookie:确保Iframe和父级页面在同一个域名下,这样就可以共享Cookie了。 2.设置Cookie的domain属性:在设置Cookie时,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值