谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失

已于 2022-02-22 14:42:33 修改
阅读量1.6k 收藏 1
点赞数
分类专栏: PHP 架构 文章标签: chrome 前端 php
于 2022-01-14 15:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiancityycf/article/details/122478818
版权
PHP 同时被 2 个专栏收录
99 篇文章 2 订阅
订阅专栏
架构
43 篇文章 0 订阅
订阅专栏

参考:谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失_php_PHP面试网

最近要实现一个简单的单点登录,并且将相关信息保存在Cookie中。

    后来发现在Chrome浏览器中不能跨域设置cookie,其他浏览器如IE,firefox访问正常。最后一番排查,发现是Chrome浏览器升级到80版本后才有这个问题,在80前的版本中访问正常。

    原来,在Chrome 80版本中,Chrome会将没有声明SameSite值的cookie默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的cookie可以从外部访问,前提是通过安全连接(即HTTPS)访问

    什么是SameSite

    SameSite是Cookie中的一个属性,它用来标明这个 cookie 是个“同站 cookie”,“同站 cookie” 只能作为第一方cookie,不能作为第三方cookie,因此可以限制第三方Cookie,解决CSRF的问题。早在Chrome 51中就引入了这一属性,但是不会默认设置,所以相安无事。

    第三方Cookie:由当前a.com页面发起的请求的 URL 不一定也是 a.com 上的,可能有 b.com 的,也可能有 c.com 的。我们把发送给 a.com 上的请求叫做第一方请求(first-party request),发送给 b.com 和 c.com 等的请求叫做第三方请求(third-party request),第三方请求和第一方请求一样,都会带上各自域名下的 cookie,所以就有了第一方cookie(first-party cookie)和第三方cookie(third-party cookie)的区别。上面提到的 CSRF 攻击,就是利用了第三方 cookie可以携带发送的特点 。

    “同站cookie”不是根据同源策略判断,而是PSL(公共后缀列表),子域名可以访问父域名cookie,但父域名无法访问子域名cookie。

    SameSite总共有三个值:Strict、Lax、None。

    Strict

    Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

    这个规则过于严格,可能造成非常不好的用户体验。比如像本人当前遇到的现象,cookie带不过,等于一直没有登录状态,就会回到登录页。

    Lax

    Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Chrome 80之后默认设置为该值。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

    导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表:

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

    设置了Strict或Lax以后,基本就杜绝了CSRF攻击。当然,前提是用户浏览器支持 SameSite 属性。

    None

    浏览器会在同站请求、跨站请求下继续发送cookies,不区分大小写。网站可以选择显式关闭 SameSite 属性,将其设为 None ,同时必须设置 Secure 属性(表示Cookie 只能通过 HTTPS 协议发送,HTTP协议不会发送),否则无效。

    下面为无效响应头:

Set-Cookie: CookieName=CookieValue; SameSite=None

    下面为有效响应头:

Set-Cookie: CookieName=CookieValue; SameSite=None; Secure

    解决办法

    本人项目中,提供的页面采用单点登录,在验证登录重新跳转到新页面时存在跨域,即返回的登录信息在跳转时不会通过Cookie发送。解决方法如下:

    1. 浏览器显式关闭该功能(不推荐)

    在Chrome地址栏输入:chrome://flags/,找到 SameSite by default cookies 和 Cookies without SameSite must be secure 选项,将上面两项设置为 Disable

    1-200RQA106196.png

    2. 设置响应header,关闭SameSite属性(Cookie 只能通过 HTTPS 协议发送,推荐)

// php代码  header 第二个可选参数 replace 表明是否用后面的头替换前面相同类型的头。 默认情况下会替换。如果传入 false,就可以强制使相同的头信息并存。
$expires = gmstrftime("%A, %d-%b-%Y %H:%M:%S GMT",time()+86400 * 30);
header('Set-Cookie: user_id=1;expires='.$expires.'; SameSite=None; Secure;path=/; domain=.phpmianshi.com',false);
header('Set-Cookie: user_name=zhangsan;expires='.$expires.'; SameSite=None; Secure;path=/; domain=.phpmianshi.com',false);

参考:

PHP: setcookie - Manual

PHP: header - Manual


 

私念
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路...你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行 Header always edit Set-Cookie path=/ path=
DJango碰到samesite无法登录Chrom(解决DJango无法获取Chrom的cookie问题)
weixin_42681866的博客
03-11 5549
文章目录前文排查总结 前文   最近碰到DJango登录系统出现问题,而这问题实在是难以定位,网上搜了大量的资料皆不到解决方法,后面借助google才逐渐解决了问题,特此记录下。问题是:极小部分同事用chrom无法登录上系统,而大部分同事(包括我)却又能正常登陆,然后让不能登录的同事换个浏览器后就恢复正常了。而这种偶发+偏偏存在的问题最是让人苦恼,这种我就完全没办法调试…所幸后面还是发现并解决了...
chrome浏览器无法携带cookie的跨域问题解决
lixiaonaaa的博客
06-22 5955
由于项目需要,不能在后台配置解决跨域,所以只能在浏览器上下手,着实折磨了我好一阵子。 1. 问题描述 平台跳转其他平台页面,并自动登录 浏览器: chrome 2. 解决方法 2.1 经查阅资料, chrome浏览器有跨域拦截,即sameSite。不同域下无法携带cookie。解决方法为在谷歌浏览器地址栏中输入chrome://flags/,将关于sameSite的属性设置为disabled,重启浏览器即可。这是针对80版本以上的chrome浏览器。 2.2...
谷歌浏览器跨域代理的多种方法
最新发布
Guoye的专栏
03-22 279
谷歌浏览器跨域代理的多种方法。
版本chrome浏览器带来的跨域请求cookie丢失问题
小白成神路
02-24 3万+
A cookie associated with a cross-site resource at http://weibo.com/ was set without the SameSite attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they a...
SpringBoot的Cookie sameSite之坑
weixin_38296425的博客
12-30 2719
CSDN上很多文章给出了解决Cookie sameSite坑跨域之坑的解决办法,但是都忽略了一个问题,没有给出相关的依赖,我也是费了不少劲终于到了解决办法,在这里记录下来。 例如下面的代码: @Configuration public class TomatConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer =
关于 chrome 80 后出现的 SameSite 问题
baidu_33569474的博客
03-19 1万+
Google 发布的 Chrome 80 中,在所有的 Cookie默认设置 SameSite=Lax 来屏蔽所有的第三方 Cookie,详见 Cookies default to SameSite=Lax;并拒绝所有的非 Secure 的Cookie 设为 SameSite=None,详见 Reject insecure SameSite=None cookies 关于 SameSite 属...
解决新版谷歌Chrome浏览器Cookie跨域失效问题
zhiwenganyong的博客
06-25 6371
解决新版谷歌Chrome浏览器Cookie跨域失效问题
关于chrome更新导致无法手动设置cookie
dragon_zjl的博客
02-14 1171
关于chrome更新导致无法手动设置cookie 因项目原因本地环境启动后需要手动设置cookie,早上打开电脑后发现设置cookie时出现了下面这种情况 在网上到得方法大多都是搜索chrome://flags再搜索SameSite再去设置。。。 可是我搜索到的却是: 后来发现SameSite by default cookies在chrome91版本已经被移除了。 解决方法如下: 地址栏输入 chrome://flags/ ,搜索Partitioned cookies,然后将配置项改成Enabled
前台关于跨域的警告A cookie associated with a cross-site resource at .........,代理服务器
热门推荐
baidu_41604826的博客
12-26 4万+
A cookie associated with a cross-site resource at … 解决该警告的方法: 在配置文件中添加配置如下: "proxy": { "/api": { "target": "http://112.125.26.100:8000/", "changeOrigin": true, "pathRewrite": { "^/api" ...
谷歌提示Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
Pandora_417的博客
07-01 1万+
chrome 更新以后出现的问题,主要是为了防止CSRF 攻击,屏蔽了第三方cookies。 警告信息中讲到一个SameSite属性,是为了限制第三方的cookies,有三个属性设置Strict、Lax、None。1 、回退浏览器版本 这个最简单了,回退浏览器比如Chrome 把他降到79 及以下版本就可以了,不过只是应急用的 2、修改浏览器配置 在浏览器中输入下面的url,修改same-site-by-default-cookies及cookies-without-same-site-must-be-s
前后端分离项目中的跨域问题解决方法----以renren框架为例
m0_37781176的博客
04-11 160
跨域问题
cross-request 3.1 YApi 跨域请求 谷歌浏览器
10-10
cross-request 3.1 YApi 跨域请求 谷歌浏览器
解决ajax跨域请求数据cookie丢失问题
10-24
本文主要是从前端jquery和服务端php为例,分别使用实例解决ajax跨域请求数据cookie丢失问题,推荐给有相同需求的小伙伴们。
Vue axios 跨域请求无法带上cookie的解决
10-14
主要介绍了Vue axios 跨域请求无法带上cookie的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Ajax跨域请求COOKIE无法带上的完美解决办法
12-09
1、原生ajax请求方式: 1 var xhr = new XMLHttpRequest();  2 xhr.open(“POST”, “http://xxxx.com/demo/b/index.php”, true);  3 xhr.withCredentials = true; //支持跨域发送cookies 4 xhr.send(); 2、...
Chrome 浏览使用IFRAME嵌套站点cookie传递失败
路过君的博客
07-16 1万+
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 Chrome升级到80版本后,默认限制了跨域携带cookie导致cookie失效,在iframe中访问跨域站点会报错如下 A cookie associated with a cross-site resource at http://XXX.XXX.XXX.XXXX/ was set without the `SameSite` attribute. It has been b.
部分浏览器 set-cookie 不成功踩坑记录
heidou_2016的博客
11-05 5960
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。公司正在做一个sso的单点登录的项目,做完之后,在测试阶段,不同的终端的兼容测试时候,好几个不同的浏览器出现了不同的问题,有登录之后自动退出,有登陆不成功等问题。而最终引发问题的原因是 set-cookie 中的 samesite 的兼容性引起的。
解决chrome控制台查不到请求头的cookie
qq_36838406的博客, 微信交流 yrn1840
10-02 1万+
在做一个小项目的时候需要需要将token写如cookie中,然鹅,写完之后却没有在chrome浏览器的Response Headers中看到cookie,以为是代码写错,尝试其他的浏览器,发现可以查看到,于是断定是浏览器的某些设置问题。最终查到原来是Chrome67引入了一个新特性:site-isolation (站点隔离),也就是请求第三方站点数据时,如cookie等敏感信息会被隐藏显示为”Pr...
谷歌浏览器插件 跨域请求
07-22
要在谷歌浏览器插件中进行跨域请求,你可以使用以下方法: 1. 在插件的 `manifest.json` 文件中添加权限声明: ```json { "manifest_version": 2, "name": "My Extension", "version": "1.0", "permissions": [ "http://*/", "https://*/" ], "background": { "scripts": ["background.js"], "persistent": false }, "browser_action": { "default_popup": "popup.html" } } ``` 在上述代码中,通过 `"permissions"` 字段声明了跨域请求所需的权限,通配符 `*` 表示允许所有的 HTTP 和 HTTPS 请求。 2. 在插件的后台脚本或内容脚本中发起跨域请求。以下是使用 `XMLHttpRequest` 对象进行跨域请求的示例: ```javascript var xhr = new XMLHttpRequest(); xhr.open("GET", "http://example.com/api/data", true); xhr.onreadystatechange = function() { if (xhr.readyState == 4 && xhr.status == 200) { var response = JSON.parse(xhr.responseText); // 处理响应数据 } }; xhr.send(); ``` 在上述代码中,使用 `XMLHttpRequest` 对象发起了一个 GET 请求,地址为 `http://example.com/api/data`。请注意,由于浏览器的安全策略限制,如果请求的目标域不在插件的权限范围内,请求可能会被阻止。 3. 如果需要发送跨域请求到其他域的 HTTPS 网站,还需要在 `manifest.json` 文件中添加相应的权限声明,例如: ```json { "permissions": [ "https://other-domain.com/" ] } ``` 请确保在添加跨域请求权限时,只添加必要的权限,并且谨慎处理来自其他域的数据,以防止安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值