This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax‘

已于 2024-03-06 17:17:20 修改
阅读量1.1k 收藏 21
点赞数 22
文章标签: 前端
于 2024-03-06 17:17:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42995876/article/details/136511457
版权

本地登录某个项目系统的时候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie,导致401登录系统失败。

在这里插入图片描述

这个警告是由浏览器发出的,告诉你在HTTP响应头的Set-Cookie字段中缺少SameSite属性,因此浏览器默认将其设置为SameSite-Lax。这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置SameSite=None以允许跨站点使用。

首先,让我们理解这里的一些关键术语:

  1. Set-Cookie头部字段: 在HTTP响应中,服务器可以通过Set-Cookie头部字段来设置Cookie。

  2. SameSite属性: SameSite属性是Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。它有三个可能的值:StrictLaxNone

  • Strict:仅允许在顶级导航中发送Cookie,即完全禁止第三方网站发送Cookie。(只允许访问同一个域名下的网络请求;)

  • Lax:允许在顶级导航和导航到嵌套导航的安全上下文中发送Cookie,例如通过安全链接访问的子页面。(允许访问同一个域名下的网络请求和同一个根域名下的网络请求)

  • None:允许在任何情况下发送Cookie,包括跨站点请求。

  1. Cross-Site请求: 当请求的源与页面的源不同,就称为跨站点请求。

现在,让我们通过一个例子来说明这个警告:

假设你的网站www.example.com向服务器发出请求,并且服务器返回了一个包含Set-Cookie头部字段的响应,但该字段没有指定SameSite属性。浏览器为了安全性,默认会将SameSite属性设置为Lax,即只在顶级导航中发送Cookie。

如果你的网站上有一个第三方资源,比如api.external.com,它返回一个设置了Cookie的响应,而且该Cookie未指定SameSite属性,浏览器就会发出这个警告。因为这个Cookie是通过跨站点的响应设置的,而不是在顶级导航中。

要解决这个问题,你需要确保在响应头部的Set-Cookie字段中设置了SameSite=None,以允许跨站点使用。这通常需要在服务器端进行配置,以确保服务器正确设置Cookie的SameSite属性。

总体而言,这个警告是为了加强安全性,防止恶意网站利用Cookie进行一些潜在的攻击。通过了解SameSite属性以及如何正确设置Cookie,你可以确保你的网站在安全性方面符合最佳实践。

参考:https://blog.csdn.net/p763833631/article/details/115671906

在这里插入图片描述

然后发现其他浏览器是ok的(eg:Firfox)。可以偷偷更换浏览器启动项目。

其他文章下找到的评论:可以降级chrome(91)或者找一下替代浏览器,比如说360。

在这里插入图片描述

参考:https://blog.csdn.net/luoyun620/article/details/118522592

开水没有冬天
关注
  • 22
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
A Java architecture test library, to specify and assert ar.zip
02-28
A Java architecture test library, to specify and assert ar.zip
关于解决Chrome新版本中cookie跨域携带和samesite的问题处理
热门推荐
白起的博客
03-18 2万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
解决新版谷歌chrome浏览器cookie跨域,cookie失效问题
mawei7510的博客
05-10 6721
解决新版谷歌chrome浏览器cookie跨域,cookie失效问题 最近笔者在本地调试时,发现死活也无法登陆,然后查看network,发现请求的cookie后面有一个黄色感叹号,给的提示,是无法设置cookie,当时就懵了,然后多方百度找到解决方法, 在这里插入图片描述 鼠标放到感叹号上给的提示 this Set-Cookie didn,t specify…具体看图 在这里插入图片描述 cookie失效原因 原因有兴趣的可以了解,执行下下面设置即可 chrome://flags/#same-site-
Chrome 80 Cookie跨域 Samesite Lax 的错误
郎涯技术
07-30 1万+
本地局域网前后端分离的项目,前端是192.168.123.90,后端是192.168.123.2。今天早上发现用户登录报告登录失败(本质原因是无法设置cookie)。一开始以为后端出问题了,但最近没改用户登录的相关逻辑,后来换火狐、edge 是可以的,并且有些人的 Google 可以正常登录。 有问题的Google浏览器的调试信息报告以下错误: 设置cookie时提示:This set-cookie didn't specify a "SameSite" attribute and was defaulte
关于浏览器警告提示 - This Set-Cookie header didn‘t specify a SameSite attribute
SAP 资深技术专家 Jerry Wang 的技术分享
01-01 589
这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。属性,浏览器就会发出这个警告。因为这个Cookie是通过跨站点的响应设置的,而不是在顶级导航中。属性是Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。:允许在顶级导航和导航到嵌套导航的安全上下文中发送Cookie,例如通过安全链接访问的子页面。,它返回一个设置了Cookie的响应,而且该Cookie未指定。当请求的源与页面的源不同,就称为跨站点请求。
Chrome浏览器跨域cookie问题
p763833631的博客
04-13 2174
原因 chorme header 头的 cookie 里有一个黄色的小叹号, 提示 This set-cookie didn't specify a 'SameSite' attribute and was defaulted to 'SameSite=lax' and broke the same rules specified in the SameSitelax value,samesite 是 chrome 为了限制第三方 cookie 问题而加的功能,对于 chrome 80 后的版本,跨域..
谷歌跨越导致的cookie问题
luoyun620的博客
07-06 678
项目开发中,在请求第三方接口时,为了安全,往往需要接口认证。最常用的方法是先请求登录接口,接口后端在返回的response headers中写入cookie值;然后再请求具体的数据接口,此时,浏览器会根据请求的URL自动查找cookie,如果找到,则在request headers里写入cookie。过程如下图。 ...
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 9608
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
Chrome调试时跨站不能设置cookie问题
bingtianxuedi111的博客
11-26 2859
Chrome调试时跨站不能设置cookie问题 this set-cookie didn't specify a "SameSite" attribute,然后变成默认Lax。 然后我搜索了一下Samesite定义,有三个值,None, Lax,Strict.这个参数是防止跨站攻击用的,因为测试环境,所以最方便就是跨站调试了。 找了一下怎么关闭chrome的这个选项,虽然别的网站可能有一点风险。自己调试的时候会方便点。 chrome://flags/#same-site-by-defau..
Axios+Nginx+Tomcat跨域和SessionId变化问题解决方案
临渊而立
11-20 1863
在一个浙里办应用的项目中,被跨域问题困扰了好几天,查阅了大量网文,大部分文章都能解决跨域的问题,但是无法解决SessionId不能保持的问题。 先两步解决跨域的问题: 1、Axios调用的时候设置withCredentials为true: 2、服务端设置允许跨域: allowed-origins="*"//有些文章说这里不能设置为星号,必须跟调用方域名一致,经过我的测试好像不影响。 all...
积分java源码-how-to-specify-it:Java和jqwik中的“如何指定”
06-06
积分java源码 如何指定它! 在Java! 2019 年 7 月,无疑是基于属性的测试最杰出的实践者之一,发表了 . 在这篇论文中,他提出 “编写 [...] 规范的五种通用方法” 又名属性。 在整篇论文中,他都将其用作工具和语言的选择。 由于相当多的开发人员不熟悉 Haskell,我想将示例转移到 Java 中用作属性测试库。 让我可以使用他的例子丰富的文本。 他的论文发表在下面,我的“混音”也是如此。 您也可以在他的 Lambda Days 2020 主题演讲中。 我对原文所做的更改 本文源自论文的 PDF 版本 - 于 2020 年 6 月 19 日下载。最终认证版本可在线获取。 约翰的原文 格式为引号, 而我的句子只是普通的段落。 在一些地方,我遗漏了一些在 Java 上下文中没有意义的单词或句子。 在一种情况下,我几乎跳过了一整页——这在文本中有所说明。 在必要的地方,我插入了我自己的几句话来解释原始版本和这个版本之间的差异。 在文章的末尾,我附上了一个我在其中解决了一些悬而未决的问题。 此外,我将 Haskell 风格的变量名称翻译成更长的 Java 名称: t变成了bs
mysql中You can’t specify target table for update in FROM clause错误解决方法
09-10
主要介绍了mysql中You can’t specify target table for update in FROM clause错误解决方法,需要的朋友可以参考下
mysql中错误:1093-You can’t specify target table for update in FROM clause的解决方法
12-16
发现问题 最近在处理一些数据库中数据的时候,写了下面的这一条sql语句: UPDATE f_student SET school_id = 0 WHERE id > ( SELECT id FROM f_student WHERE school_id = M LIMIT 1 ) AND id < ( ( SELECT id FROM f_student WHERE school_id = M LIMIT 1 ) + N ) 上面的sql是想将某个区间的数据进行修改,但是放到测试环境下一跑,报下面的错误: [Err] 1093 – You can't sp
Specify-the-file-to-print.zip_labview打印
09-23
labview调用Windows aip实现打印指定文件
前端】数组的常用处理函数
lcukyNwa的博客
04-22 435
item------->每个元素值 (必)index----->索引(可选)arr-------- >当前数组(可选)推荐vscode的一款插件来写以下的demo,该插件可以直接在js文件中显示结果,搜 Quokka.js用这个插件去新建一个js文件,直接就运行在node上了forEach不会返回一个新的数组,里面改值会影响原数组,其他方法不影响原数组map可以返回新数组 用于映射,如每个元素都加倍或执行其他转换操作every返回一布尔值,需数组中全部满足。
【解决NodeJS项目无法在IDEA中调试的问题】使用JetBrains IDEA 2023 调试nodejs项目
宅斗士的博客
04-23 372
项目采用Ant Design Pro + React,使用前后端分离开发方式,后端可以很容易的打断点调试,但是前端用到了React脚手架,在IDEA中加了调试断点,但是没有什么用处。
C++ WebServer的细节理解
我的博客
04-22 615
在非阻塞模式下,如果 I/O 操作不能立即完成(例如,因为没有数据可读 或 写缓冲区满),系统不会让调用进程阻塞等待,而是立即返回一个错误(通常为 EAGAIN 或 EWOULDBLOCK)。先查询文件描述符 fd 当前的标志,然后将 O_NONBLOCK 标志加入其中,并通过 F_SETFL 来更新文件描述符,最终实现将该文件描述符切换为非阻塞模式。这意味着,如果没有待处理的连接请求(即没有客户端尝试连接到服务器),accept() 会一直阻塞,直到有新的连接请求到达或发生其他特定条件(如超时)为止。
SpringBoot项目打包分离高阶操作
最新发布
Record Little
04-23 646
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
@AliasFor Specify 'annotation' to point to a same-named attribute on a meta-annotation. 错误
05-24
这个错误通常发生在使用Spring框架时,@AliasFor注解的使用上。@AliasFor注解用于指定一个元注解上同名属性的别名,从而简化元注解的使用。 这个错误的原因可能是你在使用@AliasFor注解时,没有正确指定元注解的名称和属性名。例如,下面的代码中,@MyAnnotation注解上指定了@AliasFor注解,但是没有正确指定元注解的名称和属性名: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @MyAnnotation(attribute1 = "value1") public @interface MyAnnotation { @AliasFor("attribute1") String value() default ""; String attribute1() default ""; } ``` 正确的写法应该是: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @MyAnnotation(attribute1 = "value1") public @interface MyAnnotation { @AliasFor(attribute = "attribute1", annotation = MyAnnotation.class) String value() default ""; String attribute1() default ""; } ``` 其中,@AliasFor注解的attribute属性指定了别名对应的元注解属性名,annotation属性指定了元注解的名称。这样,在使用@MyAnnotation注解时,就可以直接使用value属性来指定attribute1属性的值了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值