关于解决Chrome新版本中cookie跨域携带和samesite的问题处理

最新推荐文章于 2024-04-29 15:45:07 发布
最新推荐文章于 2024-04-29 15:45:07 发布
阅读量3w 收藏 32
点赞数 8
分类专栏: Java 文章标签: java cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014705309/article/details/104949474
版权

参考资料:https://www.chromium.org/updates/same-site/incompatible-clients

新版本处理方式如下

针对Chrome版本67及以上

话不多说,代码如下:

@Configuration
public class SpringSessionConfig {
   
	@Bean
	public CookieSerializer httpSessionIdResolver() {
   
		DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
		cookieSerializer.setUseHttpOnlyCookie(false);
		cookieSerializer.setSameSite("None");
		cookieSerializer.setCookiePath("/");
		cookieSerializer.setUseSecureCookie(true);
		return cookieSerializer;
	}
}

注意,这个里面的SameSite不能设为null,设空的话,还是会走默认值Lax

其中,SameSite的值可以填3个:Strict,Lax,None.
缺省的值为Lax,而且当你设置其为空时,在新的Chrome中还是会给予默认值Lax.

3个模式的介绍

Strict

严格模式

Lax

宽松模式

None

可以在第三方环境中发送cookie
在这种模式下,必须同时启用Secure才行

Chrome版本(51~66)

在这些版本中,浏览器不接受SameSite=None.如果套用上面的代码会发现无法登录

解决方法1

在配置类中设置SameSite=null:

@Configuration
public
最低0.47元/天 解锁文章
[咖啡加冰]
关注
  • 8
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
快速解决请求问题:jsonp和CORS
10-18
主要介绍了快速解决请求问题:jsonp和CORS,涉及jsonp和CORS的介绍,分享了前端 jQuery 写法,后端 SpringMVC 配置,后端非 SpringMVC 配置等相关内容,具有一定借鉴价值,需要的朋友可以参考下。
前后端分离Cookie sameSite之坑
热门推荐
qq_37060233的博客
01-22 5万+
在前后端分离解决问题过程,利用CORS解决问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,间反反复复,最后要放弃的时候无意看到一个大神的博客。 SameSite Cookie 应该是一种cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnb...
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 338
CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
浏览器系列之 CookieSameSite 属性
小易不止于搬砖的博客
07-05 1272
Cookie 的设置、属性
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现站点使用。
weixin_66709611的博客
03-13 1282
在yaml配置文件声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
google浏览器cookie携带samesite问题
weixin_45670469的博客
07-13 2698
前端时间项目登录过程使用google登录一直登录不上,知道是google版本,一直没时间来解决,这次抽空把这个问题解决下,做一些说明记录
cookie失效问题 SameSite=None和secure
烟溪彭于晏的博客
11-11 7390
使用cookie遇到的天坑,客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有问题chrome和edge要携带cookie的话需要设置cookieSameSite = None,同时又要求设置了cookieSameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行了。
set-cookieSameSite属性
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookieSameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何发送。这是谷歌开发的一种安全机制,并且现在在最版本Chrome Dev 51.0.
Springboot应用设置CookieSameSite属性,支持
seapeak007的博客
02-07 9877
转自:Springboot应用设置CookieSameSite属性 - SpringBoot文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
ajax 请求时,谷歌(chrome)浏览器 SameSite 问题
fyuhao的博客
11-06 994
以前写好的登录用的 SpringSession + SpringSecurity,突然登录功能不能用了。火狐以及手机上的浏览器等都没有问题,就谷歌浏览器有问题(直接在地址栏访问get接口也没有问题,但是每次 ajax 请求后台的时候,后台都会创建一个 session,导致带权限的接口统统失效~~~~) 1、问题原因 2、解决方案 @Bean public CookieSerializer httpSessionIdResolver(){ DefaultCookieSe.
版本chrome浏览器带来的请求cookie丢失问题
Javamine的博客
03-30 1030
参考:https://www.jianshu.com/p/aa80ca97f877 解决办法: 谷歌浏览器里面:chrome://flags/ 把SameSite by default cookies这个参数设置成disabled
关于谷歌Chrom 80版本升级后,Samesite必须有值影响项目的解决
01-09
问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件开启mod_header模块  LoadModule ...
Vue项目问题解决方案
08-27
本文给大家介绍了vue项目问题的完美解决方案,通过更改header,使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建),具体内容详情大家跟随脚本之家小编一起学习吧
关于Iframe如何访问Cookie和Session的解决方法
01-20
最近做登录系统的整合,其遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台,这个系统是第三方提供的一个加过密的系统,后台自动登录接口是自己分析出来的,没有单独提供,当从统一...
解决Chrome请求Cookie丢失
lwy92的博客
08-25 643
注: 被嵌套页面必须是https 1.spring boot 解决方案 @Bean public CookieSerializer cookieSerializer(){ DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSerializer.setUseSecureCookie(true); cookieSerializer.setSameS
chrome问题cookieSameSite属性
Welcome to Domla's world
03-16 2万+
最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题: 发现问题: 登录界面前后端分离,ajax...
Set-Cookie:SameSite=Lax 问题
new_baibai的博客
03-02 1029
cookie Set-Cookie:SameSite=Lax
Springboot应用设置CookieSameSite属性
a595077052的专栏
08-26 3082
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
SpringBoot 为 Cookie 设置 SameSite
weixin_44951259的博客
11-13 1378
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。
chrome浏览器108版本以上问题
09-17
Chrome浏览器从版本108开始,对于问题做出了一些改变。在此之前,浏览器是严格限制请求的,但是自从Chrome 108版本之后,浏览器默认支持通过一些的方法来解决问题。 首先,Chrome 108引入了的CORS(资源共享)规范,它通过在服务器的响应头添加一些额外的字段来指示浏览器是否允许请求。如果服务器返回的响应包含了'Access-Control-Allow-Origin'字段且值为请求的名,则浏览器将允许该请求。这样,网页开发者可以通过在服务器端设置正确的响应头来解决问题。 其次,Chrome 108还引入了一种请求方式,即Fetch API。Fetch API是一种用于代替传统的XMLHttpRequest对象的的网络请求API,它默认支持请求,并且提供了一系列的方法和选项来处理问题。通过使用Fetch API,网页开发者可以更灵活地发送和处理请求。 此外,Chrome 108还提供了一些其他的解决方案。例如,开发者可以在服务器端设置CORS策略,通过细粒度的配置来控制哪些名可以进行请求。另外,Chrome 108也支持通过在请求添加'Access-Control-Allow-Credentials'字段来允许请求携带认证信息。 综上所述,Chrome浏览器108版本以上对问题做出了一些改进和优化。通过使用CORS规范、Fetch API以及其他解决方案,网页开发者可以更轻松地处理请求,并提供更好的用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值