关于解决Chrome新版本中cookie跨域携带和samesite的问题处理

最新推荐文章于 2024-08-21 09:45:09 发布
最新推荐文章于 2024-08-21 09:45:09 发布
阅读量3w 收藏 32
点赞数 8
分类专栏: Java 文章标签: java cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014705309/article/details/104949474
版权
本文介绍了如何解决Chrome版本67及以上中关于Cookie跨域和SameSite问题。提供了两种解决方法,包括在配置类中设置Cookie属性以及复写HttpServletResponse的相关方法。此外,还详细阐述了严格模式和宽松模式的Cookie行为,并提到了在Chrome版本51~66中的兼容性问题及其解决方案。项目依赖方面,为了实现session共享,需要引入特定的库。
摘要由CSDN通过智能技术生成

参考资料:https://www.chromium.org/updates/same-site/incompatible-clients

新版本处理方式如下

针对Chrome版本67及以上

话不多说,代码如下:

@Configuration
public class SpringSessionConfig {
   
	@Bean
	public CookieSerializer httpSessionIdResolver() {
   
		DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
		cookieSerializer.setUseHttpOnlyCookie(false);
		cookieSerializer.setSameSite("None");
		cookieSerializer.setCookiePath("/");
		cookieSerializer.setUseSecureCookie(true);
		return cookieSerializer;
	}
}

注意,这个里面的SameSite不能设为null,设空的话,还是会走默认值Lax

其中,SameSite的值可以填3个:Strict,Lax,None.
缺省的值为Lax,而且当你设置其为空时,在新的Chrome中还是会给予默认值Lax.

3个模式的介绍

Strict

严格模式

Lax

宽松模式

None

可以在第三方环境中发送cookie
在这种模式下,必须同时启用Secure才行

Chrome版本(51~66)

在这些版本中,浏览器不接受SameSite=None.如果套用上面的代码会发现无法登录

解决方法1

在配置类中设置SameSite=null:

@Configuration
public
最低0.47元/天 解锁文章
[咖啡加冰]
关注
专栏目录
google浏览器cookie跨域携带和samesite问题
weixin_45670469的博客
07-13 2749
前端时间项目登录过程使用google登录一直登录不上,知道是google版本更新,一直没时间来解决,这次抽空把这个问题解决下,做一些说明记录
后端代码设置Samesite属性
Artisan_w
03-05 3027
Samesite属性设置 目的:防御CSRF Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
spring低版本设置cookie的samesite属性
最新发布
qq_43393995的博客
08-21 438
None属性:chrome默认将Lax设置为默认值,此时我们可以更改samesite的值,将其设置为none,此时必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。网上找了很多资源,由于jar版本比较低,没有samesite字段,尝试过继承cookie重写类,修改tomcat配置等方式,均不可用;Lax:该属性比strict的属性要宽松一些,其允许我们在跨站使用get请求时(不准确,比如ajaxget)携带cookie。属性,可用于防止 CSRF 攻击和用户追踪。
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 2209
在yaml配置文件声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
m0_71905098的博客
07-02 898
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
Set-Cookie:SameSite=Lax 问题
new_baibai的博客
03-02 1201
cookie 跨域 Set-Cookie:SameSite=Lax
跨域访问时SameSite设置级别导致的SetCookie失败的问题分析及解决
小小的人儿的博客
10-23 1482
在对接layui-vue-admin的时候,登录后,访问接口居然返回的是未授权,通过排查发现请求响应的setCookie居然有个警告“此Set-Cookie标头未指定"SameSite’ '属性,默认为SameSite= Lax,",并且已被屏蔽,因为它来自一个跨网站响应, 而该响应并不是对顶级导航操作的响应。此Set-Cookie必须在设置时指定“SameSite= None”,才能跨网站使用。”,正因为这个警告,导致浏览器缓存cookie失败,浏览器与服务端处于“无状态”的请求方式。
chrome新版本iframe嵌套cookie跨域携带问题
lj1530562965的博客
05-19 8005
问题: 新版chrome浏览器嵌套frame页面一直没法显示出来(空白页面),页面未报错 问题分析: Google 在2020年2月4号发布的 Chrome 80 版本默认屏蔽所有第三方 Cookie, 即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为 SameSite=None(https://www.chromestatus.com/fe
chrome浏览器91版本SameSite by default cookies被移除后的解决方案,Chrome跨域POST请求无法携带Cookie解决方案
begefefsef的博客
03-03 539
周一早上一打开电脑准备开发项目时候, 突然发现网站登录跳转有异常, 怎么都登录不上一直跳回登录页. 通过抓包排除了后端的原因后, 发现后端的set-cookie没有效果, 突然想起Chrome禁用第三方Cookies的计划, 打开Edge的更新记录发现已经自动更新到Chromium 91了. 因为开发环境需要, 我们把浏览器的same-site-by-default-cookies和cookies-without-same-site-must-be-secure两项都在flag里禁用了. 但是更新到91版本
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3740
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge,A网站可正常在iframe加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
浏览器系列之 Cookie 和 SameSite 属性
小易不止于搬砖的博客
07-05 1401
Cookie 的设置、属性
谷歌浏览器 setCookie失败的原因分析(samesite
qwtt24的博客
08-04 7413
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性 大致在这里就概况下 1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面: Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 2,那么Sam
set-cookie的SameSite属性
热门推荐
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本Chrome Dev 51.0.
Springboot应用设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 1万+
转自:Springboot应用设置Cookie的SameSite属性 - SpringBoot文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
ajax 请求时,谷歌(chrome)浏览器 SameSite 问题
fyuhao的博客
11-06 1044
以前写好的登录用的 SpringSession + SpringSecurity,突然登录功能不能用了。火狐以及手机上的浏览器等都没有问题,就谷歌浏览器有问题(直接在地址栏访问get接口也没有问题,但是每次 ajax 请求后台的时候,后台都会新创建一个 session,导致带权限的接口统统失效~~~~) 1、问题原因 2、解决方案 @Bean public CookieSerializer httpSessionIdResolver(){ DefaultCookieSe.
Springboot应用设置Cookie的SameSite属性
a595077052的专栏
08-26 3154
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
spring跨域(iframe访问页面)
记录
08-05 914
线上B系统通过ifram的方式嵌入B系统的页面,结果报如下错误 最初网上查询得到的办法是加了如下过滤器 @WebFilter(filterName = "/corsFilter", urlPatterns = {"/*"}) public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain c
chrome浏览器108版本以上跨域问题
09-17
在此之前,浏览器是严格限制跨域请求的,但是自从Chrome 108版本之后,浏览器默认支持通过一些新的方法来解决跨域问题。 首先,Chrome 108引入了新的CORS(跨域资源共享)规范,它通过在服务器的响应头添加一些...
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值