cookie的 samesite和xHr 的withCredentials的作用

最新推荐文章于 2024-05-19 08:00:22 发布
最新推荐文章于 2024-05-19 08:00:22 发布
阅读量1.3k 收藏
点赞数
文章标签: chrome 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42498482/article/details/131195683
版权

谷歌在Chrome 80版本改变了cookie的samesite默认值,在此一起加深下理解。

一、首先简要说下samesite的几个值。

Strict 仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致。
Lax 允许部分第三方请求携带 Cookie
None 无论是否跨站都会发送 Cookie
  之前默认是 None 的,Chrome80 后默认是 Lax。如果Chrome80后想要将其设置为None,需要同时将secure属性设置为true。这也意味着你的后端服务域名必需使用https协议访问,否则 None是无效的。

二、其次谈下 xhr中的cookie,在同域时cookie默认会发送,withCredentials属性此时是设为false也是无效的;但在跨域时,withCredentials默认为false,是不发送cookie的,设为 true 即可在跨域时 也能发送cookie;

三、此时说下 跨域和跨站 这两个是不同的定义。

1. 首先要理解的一点就是跨站和跨域是不同的。同站(same-site)/跨站(cross-site)」和第一方(first-party)/第三方(third-party)是等价的。但是与浏览器同源策略(SOP)中的「同源(same-origin)/跨域(cross-origin)」是完全不同的概念。

同源策略的同源是指两个 URL 的协议/主机名/端口一致。例如,https://www.taobao.com/pages/…,它的协议是 https,主机名是 www.taobao.com,端口是 443。

同源策略作为浏览器的安全基石,其「同源」判断是比较严格的,相对而言,Cookie中的「同站」判断就比较宽松:只要两个 URL 的 eTLD+1 相同即可,不需要考虑协议和端口。其中,eTLD 表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public      Suffix List)中,例如,.com、.co.uk、.github.io 等。eTLD+1 则表示,有效顶级域名+二级域名,例如 taobao.com 等。

举几个例子,www.taobao.com 和 www.baidu.com 是跨站,www.a.taobao.com 和 www.b.taobao.com 是同站,a.github.io 和 b.github.io 是跨站(注意是跨站)。

2.根据 跨域 和 跨站 定义的 不同,我们可以知道 跨站一定跨域,但是跨域不一定跨站。

四、最后说下

那么是否存在一种情况,withCredentials属性值和samesite值会出现冲突,此时谁的权重更高呢?答案是存在的,此时以samesite为主。举个例子:

在a.demo2.com域名下,ajax请求a.demo.com的api,此时是跨站 且跨域 的,需要设置withCredentials才能带上cookie,但如果此时cookie中的samesite值为Lax或Strict,此ajax请求是不能携带cookie的。

五、具体关于samesite和withCredentials的知识可以查看参考文章

参考文章:
withCredentials

samesite1

samesite2

    [cookie](https://zhuanlan.zhihu.com/p/103187034)

转自:https://www.cnblogs.com/iroading/p/13151848.html

单箭头→
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
axios.defaults.withCredentials跨域携带cookie
05-13 1577
withCredentials:默认情况下,跨源请求不提供凭据(cookie、HTTP认证及客户端SSL证明等)。前端通过将withCredentials属性设置为true指定某个请求应该发送凭据 withCredentials默认值为false。 true:在跨域请求时,会携带用户凭证 false:在跨域请求时,不会携带用户凭证;返回的 response 里也会忽略 cookie 注意:当配置了 withCredentials = true时,必须后端配置增加 response 头信息Access-
跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials
EmotionComputer
12-01 1834
跨域,注意是浏览器设置的同源策略,是在浏览器端限制的,也就是在当前域名下发送的xhr请求是否和当前域名同域。 如果跨域了,可以通过设置Access-Control-Allow-Origin来解决跨域; 如果是同域,则cookie自动被带上,如果是跨域,则需要设置withCredentials(chorme浏览器94以前的版本); 如果是在启明星里执行console.log(window.location),则打印的是启明星的location。 同域下不一定能携带cookie??这好像还和samesite有关
使用withCredentials发送跨域请求凭据
linybo的专栏
12-08 7792
默认情况下,标准的跨域请求是不会发送cookie等用户认证凭据的,XMLHttpRequest 2的一个重要改进就是提供了对授信请求访问的支持。 本地模拟www.zawaliang.com向www.xxx.com发送带cookie的认证请求,我们需求做以下几步工作: 默认情况下widthCredentials为false,我们需要设置widthCredentials为true: va
xmlhttp中withcredential用法
最新发布
codemami的博客
05-19 504
需要注意的是,为了让withCredentials属性生效,服务器端必须显式返回Access-Control-Allow-Credentials这个头信息,并且其值必须设置为true。总结来说,withCredentials属性在XMLHttpRequest中用于控制跨域请求是否携带凭据,通过将其设置为true,可以在跨域请求中传递用户的认证信息,但需要注意服务器端的设置和响应头信息的配置。withCredentials属性的默认值为false,意味着在默认情况下,跨域请求不会携带凭据。
Vue 加入 withCredentials 后无法进行跨域请求
热门推荐
liyuling52011的博客
04-20 5万+
Vue和django的前后端分离项目,之前通过在django中允许跨域访问实现了跨域请求,但为了使每个请求带上session信息,我设置了withCredentials ,即:axios.defaults.withCredentials = true然后跨域请求时会出现如下问题:Response to preflight request doesn't pass access control ch...
xhr.withCredentials发送跨域请求凭证
diaolanbeng0962的博客
06-17 1052
一、前言  今天遇到一个坑,浏览器请求数据的时候gg了。浏览器报错如下图: 因为请求头部设置了credentis mode is 'include', 从上面可以看出是Access-Control-Allow-Credentials这个响应必须设置为true。 二、思考 第一反应前端没有设置过这个值啊?应该走默认才对吧?测试环境OK啊! ---------------...
ajax中的withCredentials使用效果
Hanyinh的博客
03-25 444
ajax中的withCredentials使用效果 withCredentials的值要么true,要么false, 表示当前请求为跨域类型时是否在请求中协带cookie。 当配置了withCredentials = true时,必须在后端增加 response 头信息Access-Control-Allow-Origin,且必须指定域名,而不能指定为*。 ...
在 ajax 跨域请求中携带 cookie 做身份认证 (xhr withCredentials属性)
kanbujian
10-11 1万+
在 ajax 跨域请求中携带 cookie 做身份认证 时间 2016-06-04 21:33:00  Secbone's Blog 原文  https://secbone.com/index.php/archives/192/ 主题 Ajax 好吧,一如既往的短篇记录性文章,记下坑供查阅 原因大概是这样的,公司有很多内网的服务系统,同属于同一个主域,但是是不
单点登录cookie跨域二三事之withCredentials
weixin_33887443的博客
01-05 399
title: 单点登录cookie跨域二三事之withCredentials tags: kisso crossdomain withCredentials cookie 跨域 categories: 工作日志 date: 2017-11-30 01:54:19 背景 随着前后端项目开发的流行现在前后端跨域非常常见。 典型案例 后端SpringBoot 端口8079 前端VueJs 端口8...
AngularJS入门教程之XHR和依赖注入详解
10-21
本文主要介绍AngularJS XHR和依赖注入,这里整理了详细资料和示例代码,有兴趣的小伙伴可以参考下
vue-xhr:axios和jsonp
05-16
“ vue-xhr”是axios和jsonp的适配器 安装 npm install vue-xhr --save 进口 es6 import xhr from "vue-xhr"; d require("vue-xhr",function(xhr){ }) 导入方式 import {get,post,getJSON,getHrefParam} ...
cypress-xhr-responses-recording
05-19
赛普拉斯动态XHR响应记录和存根 这是一个简单的项目,展示了一种在运行测试时将XHR响应动态保存为JSON夹具的方法,并使用这些夹具在后续测试中对请求进行存根。 它是作为中型文章的补充而创建的,您可以在此处阅读...
xhr:一个小的xhr包装器
02-03
xhr 一个小的XMLHttpRequest包装器。 设计用于使用 ,等。 API的一个子集这样你就可以在两个node.js中,通过使用浏览器的作品写的代码require('request')在你的代码,并告诉您的浏览器捆绑到加载xhr而不是request ...
nise:假XHR和假服务器
04-08
XHR和服务器 文档: : 支持者 每月捐款支持我们,并帮助我们继续开展活动。 [] 赞助商 成为赞助商,并在GitHub上的自述文件中获得您的徽标,并提供指向您网站的链接。 [成为赞助商] 执照 Nise在BSD-3下...
php withcredentials,withCredentials=true跨域带上cookie
weixin_39692830的博客
03-19 574
跨域是一个老的话题,今天就来看看如何跨域。1.普通跨域(在http://www.webhek.com下请求一个http://www.qiutianaimeili下的接口)$.ajax({url:'http://www.qiutianaimeili.com/php/crossDomainJsonp.php',type:'POST',data:{name:'nb'},success:function...
同源、跨域、跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4520
系统性梳理前端同源策略、跨域解决方案CORS、Cookie的安全策略,最后总结不同场景的跨域、跨站问题解决方法。
withCredentials在跨域发送cookie时的应用
zqj1172102457的博客
06-21 391
服务A:http://192.168.126.129:5001 服务B:http://192.168.126.129:5002或者任意一个请求A时是跨域的地址 现在服务A有了它自己的cookie,我们在服务B通过ajax访问服务A或者与A同域的任何一个服务(如http://192.168.126.129:8002,http://192.168.126.129:8003…等)时,是一种跨域访问方式,默认情况下A的cookie是不会随带发的,要想这些服务端(A或者与A同域的服务端)接收到这些cookie,仅仅需
xhr获取cookie
07-27
回答: 要通过xhr获取cookie,可以使用xhr.getResponseHeader("Set-Cookie")来获取响应头中的cookie信息。在发送请求时,可以使用xhr.setRequestHeader("Set-Cookie", "cookie值")来设置请求头中的cookie。需要注意的是,cookie值需要进行URI编码,可以使用encodeURIComponent()函数进行编码,而在获取到cookie后,如果需要在客户端保存cookie,可以使用document.cookie = "cookie值"来手动插入cookie。\[1\]另外,如果在后续的请求中没有携带cookie的内容,可能是由于路径的问题。服务端可能配置了只有特定路径下的请求才能携带cookie,可以尝试将路径配置改为服务器的IP地址加端口号来解决这个问题。\[2\]总结来说,通过设置请求头和获取响应头中的cookie信息,可以实现xhr获取cookie的功能。\[3\] #### 引用[.reference_title] - *1* *3* [服务端修改Cookie——跨域cookie发送机——通信加密——异或加密](https://blog.csdn.net/m0_46672781/article/details/126234878)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [跨域导致无法获取cookie](https://blog.csdn.net/weixin_30388677/article/details/97156296)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值