cookie SameSite属性

最新推荐文章于 2022-08-19 16:50:42 发布
最新推荐文章于 2022-08-19 16:50:42 发布
阅读量736 收藏
点赞数 2
分类专栏: Web 文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45444309/article/details/115508948
版权

cookie之SameSite属性

问题描述:

前端调取后端返回base64编码格式字符串验证码的接口,response返回set-Cookie

Set-Cookie: laravel_session=eyJpdiI6IlNKbDdBeU5PdjBVOFJsYnpYSmRLRHc9PSIsInZh
bHVlIjoiekdRc2ZMQWpLNlJHTE9MM1RyRnhPUFVnN0RyNmRcLytnK1NFa1p3MElNMWNRODFTampG
ZjhGanVxenhOUldjc3oiLCJtYWMiOiI3NjE3MTg0MGU4NWM5ZDcyYzkzNjIwNDkxMGI0NGI4ZWE3
NmZjOWQ3OWQxMGNlOWRmYmI1ZGQwNzljZGVkMmMxIn0%3D; expires=Thu, 17-Sep-2020 
08:37:53 GMT; Max-Age=7200; path=/; httponly

但无法在前端域名下创建cookie保存sessionId,导致登录接口取不到session存储的验证码

原因:

搜索chrome未携带cookie原因,发现cookie新属性:SameSite(chrome77版本后支持) 。对该属性的介绍可以参考这篇文章:SameSite。同时,查看chrome的cookie,由于没有指明SameSite的取值,chrome默认将其设置为了Lax:

解决方案:

1、设置response的header(推荐、必要条件HTTPS)

通过在后端中设置

("Set-Cookie", "HttpOnly;Secure;SameSite=None")

响应头可以看到设置的Set-Cookie,但是chrome提示:

由于设置SameSite为NONE时,需要同时设置secure,不设置secure无效,而设置secure之后,必须使用https来传输cookie。相对来说较为安全。

2、究极方案(修改Chrome配置)

在chrome中打开链接: chrome://flags/#site-isolation-trial-opt-out,搜索samesite

禁用相关配置即可

3、nginx反向代理解决

重要代码:

# 只支持 proxy 模式下设置,SameSite 不需要可删除,如果想更安全可以把 SameSite 设置为 Strict
proxy_cookie_path / "/; httponly; secure; SameSite=Lax";

示例:

server {
    listen 443 ssl http2;
    server_name www.cat73.org;

    ssl_certificate /etc/letsencrypt/live/cat73.org/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/cat73.org/privkey.pem;

    ssl_trusted_certificate /etc/letsencrypt/live/cat73.org/chain.pem;

    add_header X-XSS-Protection "1; mode=block";
    add_header X-Frame-Options SAMEORIGIN;
    add_header Strict-Transport-Security "max-age=15768000";

    location / {
        root /var/www/html;
    }

    location /api {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 在这里设置
        proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
    }
}

4、前端代理解决方案

前端框架:React App
调试环境在package.json 文件加入代理配置项

"proxy": "代理地址"

之后运行调试环境 npm run start

框架相关代码

    // Load proxy config
    const proxySetting = require(paths.appPackageJson).proxy;
    const proxyConfig = prepareProxy(proxySetting, paths.appPublic);

总结:

存在即合理,SameSite的设计初衷是为了防止CSRF攻击,禁用SameSite实际上并没有解决问题,属于下下策。这里提供一下我的理解,SameSite为了防止CSRF攻击,加强了对cookie的管理,防止用户带着cookie去访问第三方网站,而这又涉及到了跨域问题。然而,我们不可能要求用户像我们一样去禁用新版chrome的SameSite,目前的建议就是在header中设置samesite,即上述的

("Set-Cookie", "HttpOnly;Secure;SameSite=None")

后,使用https传输cookie。

SameSite等级

1、Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2、Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

3、None

Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效

Set-Cookie: widget_session=abc123; SameSite=None; Secure

参考链接

1、链接1

2、链接2

3、链接3

4、链接4

桃桃桃桃子丶
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Cookie SameSite属性的扩展 自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将...
后端代码设置Samesite属性
Artisan_w
03-05 2682
Samesite属性设置 目的:防御CSRF Cookie属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 1万+
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
springboot解决谷歌80及以上版本的SameSite设置cookie失效
peony的博客
09-02 6805
前言 谷歌80新加了一个SameSite属性,防止跨域。但是就是由于这个新加的属性,我无法把cookie传到前端,搜罗了全网找到了两种解决方法,在此记录一下。 如果console出现下面这个,那cookie估计就没设置上: A cookie associated with a cross-site resource at http://stu.hrbkyd.com/ was set without the SameSite attribute. It has been blocked, as Chrom
解决新版chrome浏览器SameSite属性cookie拦截问题
qq_41140980的博客
11-05 3957
解决新版chrome浏览器SameSite属性cookie拦截问题 问题现象: 由于升级了新版chrome浏览器后,发现系统正常iframe嵌套、AJAX,Image从以前的跨站会发送三方 Cookie,变成了不发送。导致某些内容无法显示了,页面空白,但是请求未报错。 查找资料: 发现Google 在2020年2月4号发布的 Chrome 80 版本中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性,并且拒绝非Secure的Cookie设为 SameSite
谷歌 samesite 问题以及如何解决使用session登录验证
dcfok的博客
02-18 1835
谷歌samesite的问题下,对登录和验证码以及session的使用进行解决。
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 9611
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
django-cookies-samesite:该存储库包含一个中间件,该中间件会自动为Django的旧版本中的会话和csrf cookie设置SameSite属性
05-02
django-cookies-相同站点 该存储库包含一个中间件,该中间件会自动为Django的旧版本(例如1.11.x,2.2.x或3.0.x)中的会话和csrf cookie设置SameSite属性。 Django 3.1.x不需要此模块,它为会话和csrf cookie引入了...
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
Cookie 的使用
青蛙king的博客
06-16 3693
目录 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) 一、HTML5 应用缓存 二、Cookie 三、Storage 1、sessionStorage 2、globalStorage 3、localStorage 四、IndexedDB(了解) .....................
浏览器Cookie&SameSite
tonggui77的博客
06-01 1420
目录 Cookie基础 why HTTP 1.x是无状态的协议 what 浏览器在浏览网站时存储在用户计算机上的一小段数据。 被设计为网站记住状态信息或记录用户的浏览活动 记住用户先前在表单字段中输入的信息 when 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) .
跨域与同源策略
howeres的博客
04-03 805
Same-origin policy也就是同源策略;是为了防止假冒网站冒充源网站,对网站进行了一些限制,主要有Cookie、LocalStorage 和 IndexDB 无法读取、DOM 无法获得、AJAX 请求不能发送,同时还规定,提交表单不受同源政策的限制。 最初,它的含义是指,A网页设置Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。协议相同(http)、域名相同(www.amazon.com)、端口相同(80); 但有时,我们就需要去跨网站请求,这就需要用.
response.setHeader()的用法
热门推荐
Ljm_的博客
07-02 2万+
1. HTTP消息头(1)通用信息头即能用于请求消息中,也能用于响应信息中,但与被传输的实体内容没有关系的信息头,如Data,Pragma主要: Cache-Control , Connection , Data , Pragma , Trailer , Transfer-Encoding , Upgrade(2)请求头用于在请求消息中向服务器传递附加信息,主要包括客户机可以接受的数据类型,压缩方...
Nginx新增SameSite属性cookie
pocher的博客
06-13 2920
Nginx新增SameSite属性cookie
Chrome 配置samesite=none方式
m0_67400973的博客
08-01 3301
Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
跨域 SameSite secure
龙丨行的博客
10-28 1620
问题描述: 在 chrome 上, pdf预览失败,报错500,可是新开标签页,把请求地址放到地址栏里进行请求,又能获取到相应的数据; 在 火狐浏览器 均能正常显示。 经对比发现 1.页面内报错的请求Content-Type 为 application/json;charset=UTF-8 ;而标签内的能够正常返回的Content-Type为 application/pdf;charset=UTF-8 ; 向后端确认其返回的 Content-Type 为 application/pdf;
nginx配置 设置cookie的samesite属性
最新发布
04-25
好的,对于这个问题,可以在nginx配置中添加以下代码: ``` location / { add_header Set-Cookie "name=value;...注意,如果使用了SameSite属性,则必须同时设置Secure属性,以保证cookie只能在https安全连接中传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值