ajax 请求时,谷歌(chrome)浏览器 SameSite 问题

最新推荐文章于 2024-07-05 15:50:58 发布
最新推荐文章于 2024-07-05 15:50:58 发布
阅读量1k 收藏
点赞数
分类专栏: java 文章标签: chrome ajax spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43261465/article/details/121175555
版权

以前写好的登录用的 SpringSession + SpringSecurity,突然登录功能不能用了。火狐以及手机上的浏览器等都没有问题,就谷歌浏览器有问题(直接在地址栏访问get接口也没有问题,但是每次 ajax 请求后台的时候,后台都会新创建一个 session,导致带权限的接口统统失效~~~~)

1、问题原因

在这里插入图片描述

2、解决方案(https)

    @Bean
    public CookieSerializer httpSessionIdResolver(){
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        cookieSerializer.setCookieName("token");
        cookieSerializer.setUseHttpOnlyCookie(true);
        cookieSerializer.setUseSecureCookie(true);
        cookieSerializer.setSameSite("None;Secure");
        return cookieSerializer;
    }

重点是 cookieSerializer.setSameSite(“None;Secure”);

3、前端需要跨域访问

  • ajax
crossDomain: true,
xhrFields: {
	withCredentials: true
},
  • 后台
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request=(HttpServletRequest)servletRequest;
        // System.out.println(request.getSession().getId());
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "0");
        response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        filterChain.doFilter(servletRequest,servletResponse);
    }

4、效果实例

4.1、接口(设置session并获取session的值)
@RestController
@RequestMapping("/test1")
@CrossOrigin(origins = "*")
public class TestController {
    @GetMapping("/get")
    public Object get(HttpSession session){
        Map<String, Object> result = new HashMap<>(4);
        // 遍历
        for (Enumeration<String> enumeration = session.getAttributeNames();
             enumeration.hasMoreElements();) {
            String key = enumeration.nextElement();
            Object value = session.getAttribute(key);
            result.put(key, value);
        }
        return result;
    }

    @GetMapping("/set")
    public Object set(HttpSession session, @RequestParam("key") String key,@RequestParam("value") String value){
        session.setAttribute(key,value);
        return session.getId();
    }
}
4.2、ajax 请求
<!DOCTYPE html>
<html>

<head>
	<meta charset="utf-8">
	<title></title>
	<meta name="viewport"
		content="width=device-width,initial-scale=1,minimum-scale=1,maximum-scale=1,user-scalable=no" />
	<!-- 引用jquery -->
	<script src="https://code.jquery.com/jquery-3.3.1.min.js"></script>
</head>

<body>
	<button onclick="ajax1()">设置 session</button>
	<button onclick="ajax2()">获取 session</button>
</body>
<script>
	var URLS= "http://localhost:8080";
	function ajax1() {
		$.ajax({
			url: URLS+ '/test1/set?key=keys&value=values',
			type: "GET",
			async: "false",
			crossDomain: true,
			xhrFields: {
				withCredentials: true
			},
			success: function (data) {
				console.log(data);
			}
		});
	}
	function ajax2() {
		$.ajax({
			url: URLS+ '/test1/get',
			type: "GET",
			crossDomain: true,
			xhrFields: {
				withCredentials: true
			},
			success: function (data) {
				console.log(data);
			}
		});
	}

</script>

</html>
4.3、设置 SameSite 之前(ajax 请求每次获取到的sessionId 都不一致)

在这里插入图片描述

但是直接在地址栏访问接口(每次获取到的 sessionId 一致)

在这里插入图片描述

4.4、设置 SameSite 之后( ajax 请求获取到的 sessionId 一致)

在这里插入图片描述

阳台上的阳光
关注
专栏目录
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5347
今天在做前后端分离项目的候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
Cookie 的 SameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
jquery ajax方法如load,get等 在chrome下失效的问题
kooky博客
05-28 8917
jquery ajax方法如load,get等 在CHROME下失效的问题(已经解决) 最近碰到一个问题jquerychrome 5.0+ 等版本中, ajax的load get等方法完全失效。 代码如下: function getHtml(url,ctner){ //alert(ctner); //$.get(url,function(data) {$(ctner).html
Chrome浏览器未受理ajax请求
bruce128的专栏
03-07 4894
问题描述如下:一个A标签,点击的候执行两个操作,下载一个资源并且同发出ajax请求。在Chrome浏览器下,ajax请求被cancel掉了,但是firefox很正常。 代码如下: 下载 function insertDownloadLog(fileType){ $.ajax({ url:"/download/insertDownloadLog.action?rand=" + ne
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
最新发布
weixin_39459811的博客
07-05 444
将SameSite属性值改为None,同将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
谷歌浏览器不支持本地ajax,chrome浏览器本地文件支持ajax请求的解决方法
weixin_29696799的博客
08-05 302
JavaScript的面临的9个陷阱虽然不是什么很高深的技术问题,但注意一下,会使您的编程轻松些,即所谓make life easier. 笔者对某些陷阱会混杂一些评点. 1. 最后一个逗号 如这段代码,注意最后一个逗号,按语言学角 ...Ubuntu 下安装 Oracle JDKsudo add-apt-repository ppa:webupd8team/javasudo apt-get ...
谷歌ajax失败重新请求,谷歌浏览器 - 失败GET ajax请求
weixin_36393352的博客
08-06 411
我正在开发一个网站,它从模板页面加载html,然后从XML加载内容。例如在文档中调用这些函数.ready函数谷歌浏览器 - 失败GET ajax请求$.ajax({type : "GET",url : "template.html",dataType : "html",success : function(html) {var ndoc = document.createElement('html...
chrome浏览器支持ajax请求本地文件
赶路人儿
06-18 1346
chrome加上启动参数: --allow-file-access-from-files 或者  --disable-web-security 给chrome加上启动参数方法: 谷歌浏览器快捷方式,右键属性将目标位置中加上启动参数 C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe --disab
浏览器无法添加携带cookie的问题
祭月M的博客
09-23 1125
最快的解决方法: 只有谷歌浏览器有这个问题,所以最好的方法是不要用谷歌浏览器,换其他的浏览器问题根源: 因为谷歌浏览器在升级到80版本之后,Cookie的SameSite属性默认值由None变为Lax,Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 程序员解决方法: 1. 打开谷歌浏览器 输入 chrome://flags/ 搜索 SameSite 将关于sameSite的属性全部设置为disabled 2. 在chrome浏览器的桌面快捷方式右键——属性—
一文解决浏览器跨域问题
qq_45562973的博客
04-24 5687
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 1. 概述 老话说的好:大处着眼,不贪一之利。太贪心,只会失去更多,知足才能常乐。 言归正传,今天我们来聊聊 如何解决浏览器跨域的问题。 2. 跨域问题 2.1
Mac上设置Chrome浏览器跨域
tscn1的博客
12-12 3261
跨域 前后端分离之后,联调的候就会出现问题,那就是Ajax跨域问题。 跨域问题的解决方案有很多种 比如常规的 后端使用CROS,设置允许访问接口的地址 或者 使用 JSONP等等。 还可以借助Chrome浏览器,新开一个用户,解决跨域问题。 步骤 打开终端 输入命令 open -n /Applications/Google\ Chrome.app/ --args --disable-web-security --user-data-dir=/Users/yourname/MyChromeDe
jQuery AJAX跨域
w36680130的博客
05-05 475
Here are two pages, test.php and testserver.php. 这是两个页面,test.php和testserver.php。 test.php test.ph
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 2123
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端传来的Cookie可以在前端正常保存,但当前端向后端请求携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
谷歌浏览器 setCookie失败的原因分析(samesite
baidulixueqin的博客
05-17 685
转载
SpringBoot的Cookie sameSite之坑
weixin_38296425的博客
12-30 2848
CSDN上很多文章给出了解决Cookie sameSite坑跨域之坑的解决办法,但是都忽略了一个问题,没有给出相关的依赖,我也是费了不少劲终于找到了解决办法,在这里记录下来。 例如下面的代码: @Configuration public class TomatConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer =
跨域携带cookies无效问题
weixin_33912445的博客
01-09 1147
开发环境:vue,axios 0.17.1,springboot 2.1.1,springsession在本地测试页面,发现cookies都没有传上去,本地测试是跨域的,原先是正常的。 开始以为是axios问题,结果试了XMLHttpRequest也是一样,都已设置withCredentials:true。跨域的请求都能接收和回应,但是...
set-cookie中的SameSite属性
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie中的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
SSM框架下的项目设置SameSite属性方法
鹄望潇湘的博客
04-08 8199
近期Chrome更改了SameSite属性的默认值,导致跨域网站中出现了一些提示: 解决办法如下: 我的网站实际上有两个部分组成,前端和后端。其实这个SameSite属性是在Response中设置的,如果使用了SSM框架,则在注解的有@Controller的类中添加一个函数: @ModelAttribute public void setReqAndRes(HttpServletReq...
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3148
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
Ajax请求结果缓存问题解决方案
当多个Ajax请求指向相同的URL地址,只有第一次请求会真正发送到服务端,而后续的请求都会直接从缓存中获取结果,这可能不是我们所期望的结果。例如,在获取实数据的情况下,这种默认的缓存机制将导致数据不实...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值