解决跨域下Cookie的SameSite问题(使用Nginx)

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量3w 收藏 23
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tmyth/article/details/104340403
版权

简介

  Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,且发现包括360、搜狗当前版本浏览器不兼容SameSite属性导致在加入SameSite后无法传递cookie,所以本文提出一套使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。

使用Nginx的proxy_cookie_path功能

proxy_cookie_path功能说明:

Sets a text that should be changed in the path attribute of the “Set-Cookie” header fields of a proxied server response. Suppose a proxied server returned the “Set-Cookie” header field with the attribute “path=/two/some/uri/”. The directive
proxy_cookie_path /two/ /;
will rewrite this attribute to “path=/some/uri/”.

具体配置方法(在location节点下加入,配置后重载Nginx):
  如果站点Cookie所在目录在根目录/下,设置如下:
    proxy_cookie_path / “/; secure; SameSite=None”;
  如果站点Cookie所在目录在abc目录下,设置如下:
    proxy_cookie_path /abc/ “/abc/; secure; SameSite=None”;
  如果无法确定站点Cookie目录,可使用Chrome开发者工具,监测Network下网络请求,找到Response Headers中set-cookie属性值,该值中有path属性值即为Cookie目录,也即上文要替换的/或者/abc/值。

旧浏览器不兼容SameSite问题

  笔者在通过使用proxy_cookie_path后发现一些国产浏览器比如360、搜狗浏览器不兼容SameSite属性,cookie直接无法正常传递了,通过浏览器UA判断其使用的chrome内核为较旧版本,为了兼容这些浏览器,这里需要判断UA来实施proxy_cookie_path命令,具体操作方法:
  首先,为了让nginx能判断UA中的chrome版本,笔者采用了Nginx支持的njs脚本,编译Nginx支持njs的方法:
    http://nginx.org/en/docs/http/ngx_http_js_module.html
  然后,编写njs脚本,文件可以命名为ua.js:

function getChromeVersion(r) {
	var ua = r.headersIn["user-agent"];
	if(ua){
		var flag = /Chrome\/([0-9]+)/.exec(ua);
		if(flag && flag.length > 1){
			return flag[1];
		}
	}
	return -1;
}
function getCookiePathMagicFlag(r) {
	var version = getChromeVersion(r);
	if(version != -1 && version < 79){
		return "-evil"; 
	}
	return "";
}

  这里将ua.js文件放到nginx.conf同目录下,在nginx.conf 的 http节点下加入两行:
    js_include ua.js;
    js_set $cookiePathMagicFlag getCookiePathMagicFlag;
  (这里$cookiePathMagicFlag是一个标识符,可以根据这个标识符来决定是否执行proxy_cookie_path的替换,也避免了使用nginx的if。)
  最后将上文中的proxy_cookie_path命令语句改为:
    proxy_cookie_path /$cookiePathMagicFlag “/; secure; SameSite=None”;
    或者
    proxy_cookie_path /abc/$cookiePathMagicFlag “/abc/; secure; SameSite=None”;

总结

  笔者通过以上配置,测试了包括360、搜狗、火狐、IE、chrome浏览器都可以正常传递cookie了。截至最后测试,360、搜狗最新版本(用了旧的chrome内核)依然未兼容SameSite属性。

tmyth
关注
  • 6
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
nginx跨域问题解决多端口,多ip问题
03-26
使用nginx进行服务器管理,经常会遇到跨域问题,此文档就是解决此类问题nginx跨域问题解决多端口,多ip问题
利用nginx解决跨域问题nginx跨域
最新发布
07-08
【作品名称】:利用nginx解决跨域问题nginx跨域】 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:利用nginx解决跨域问题nginx跨域
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造
qq_43613949的博客
06-19 680
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造@
Nginx新增SameSite属性的cookie
pocher的博客
06-13 2991
Nginx新增SameSite属性的cookie
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
Nginx配置解决Chrome浏览器SameSite跨域问题
shijin741231的博客
08-31 6005
Nginx配置解决Chrome浏览器SameSite跨域问题 最近联调接口,反复遇到chrome跨域问题,本来解决也很顺畅,结果突然有一个客户非要使用chrome 63的版本。。。。。。我折腾半天也没太好的办法,只能通过nginx去识别chrome浏览器版本决定返回cookie值来解决。 参考链接: 参考链接: Chrome修改了cookie安全策略. 参考链接: 通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失. 参考链接: 关于IE下面iframe跨域 co
chrome新版本禁用第三方cookie的SameSite问题
梅花屋
11-11 5560
1、 就是在chrome://flags/里设置禁用SameSite,(重启浏览器); 2、 后端进行设置 SameSite=none并且设置secure;(就是用https)(看后端框架能否支持此设置); 3、使用Nginx配置SameSite; Nginx的proxy_cookie_path功能,具体配置方法(在location节点下加入,配置后重载Nginx): 如果站点Cookie所在目录在根目录/下,设置如下: proxy_cookie_path / “/; secure; SameSite=N
nginx 为chrome客户端请求加SameSite=None;Secure
路过君的博客
05-14 2749
http { map $http_user_agent $samesite_attr { "~*chrome" ';Secure;SameSite=None'; } server { location / { ... proxy_cookie_path ~/(.*) "/$1$samesite_attr"; } } }
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
ilqgffvramusm2864的博客
05-22 1万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie的安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie中设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
一次跨域问题解决经历(samesite
DATANGguanjunhou的博客
02-06 2696
1. 问题描述 生产和测试环境使用nginx做了反向代理,所以不存在跨域问题,但是在本地研发环境,由于前后端分离,前端和后端在不同的电脑上开发,存在跨域问题。 前端使用的是vue,后端使用的是springboot。在前后端都做了跨域的设置,前端的设置为: //前端在vue的main文件全局添加一下代码: import axios from 'axios'; axios.defaults.withCredentials=true; 后端的设置为: import org.springframework.co
跨站请求,nginx配置
weixin_39048143的博客
09-06 1041
location /front/ { proxy_set_header Host $host; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Real-IP $remote_addr; #添加设置sameSite 为none ...
Chrome 配置samesite=none方式
qq_26441149的博客
04-28 8602
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言二、解决方案1.方案一:修改浏览器配置2.方案二:使用Nginx3.方案三:若服务器为Tomcat,可使用以下方式(Tomcat8.5.x以上版本) 前言 Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。 我们遇到的问题是:从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失.
chrome 同站策略(samesite问题解决方案
热门推荐
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
跨域cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 7497
跨域使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。
Springboot2.6以下版本对cookie的samesite设置的通用方法
aol_aog的专栏
12-23 1658
SpringBoot1.x及Springboot2.6以下版本如何解决cookie的samesite问题
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
http域名在浏览器set-cookie失败,导致cookie中获取不到内容解决方案
tpl9236 的博客
12-23 2459
由于开发一个表格系统时,前端使用的是Vue,后端使用的是 spring boot,在本地调试时用 localhost来访问,可以做到服务端和客户端使用cookie(HttpSession session) 通信,实现验证是否登录,但是在生产环境客户端(浏览器)在登录时无法set-cookie,导致cookie 信息没有保存在浏览器,其他接口无法做验证登录。
nginx解决跨域获取cookie问题
07-25
解决跨域获取 Cookie问题,可以通过配置 Nginx 来实现。以下是一种常见的方法: 1. 在 Nginx 配置文件中找到对应的 server 块,添加以下配置: ```nginx location / { add_header 'Access-Control-Allow-Origin' 'http://example.com'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept, Cookie'; } ``` 这里的 `'http://example.com'` 是你要允许的跨域请求的来源地址。你可以根据实际情况修改这个值。 2. 在需要跨域获取 Cookie 的请求中,需要设置 `withCredentials` 为 `true`。例如,在 JavaScript 的 AJAX 请求中添加以下代码: ```javascript xhr.withCredentials = true; ``` 这样,Nginx 将会在响应中包含 `Access-Control-Allow-Credentials: true` 头部,允许浏览器接收来自跨域请求的 Cookie。 3. 确保在 Nginx 配置中启用了 `proxy_cookie_domain` 设置。在 `http` 块中添加以下配置: ```nginx proxy_cookie_domain example.com your-domain.com; ``` 将 `example.com` 替换为实际的域名,将 `your-domain.com` 替换为你的域名,这样 Nginx 将会在代理请求时修改 Cookie 的域名。 请注意,在配置 Nginx 时,确保你已经了解了安全性和具体的需求,并做出相应的修改以满足你的应用程序的要求。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值