在使用谷歌时发现一个诡异问题cookie传不过去

最新推荐文章于 2024-08-17 11:18:56 发布
最新推荐文章于 2024-08-17 11:18:56 发布
阅读量9.8k 收藏 10
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45490901/article/details/107656615
版权

在使用谷歌时发现一个诡异问题cookie传不过去

查找相关资料发现这是谷歌的一个新属性SameSite导致的,

SameSite 属性

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

Strict
Lax
None
2.1 Strict
Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2.2 Lax
Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;
导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型 示例 正常情况 Lax
链接 发送 Cookie 发送 Cookie
预加载 发送 Cookie 发送 Cookie
GET 表单 发送 Cookie 发送 Cookie
POST 表单 发送 Cookie 不发送
iframe 发送 Cookie 不发送
AJAX $.get("…") 发送 Cookie 不发送
Image < img src="…"> 发送 Cookie 不发送

设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

2.3 None
Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None
下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

解决方法

第一种。设置 response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”)后,使用https传输cookie。(我没有用过)
第二种。看到其中的一条解决方案: 禁用chrome samesite。方法如下:

在chrome中打开链接: chrome://flags/#site-isolation-trial-opt-out,搜索samesite
在这里插入图片描述
2.将上述三个选项禁用(设为disable)后重启chrome,问题解决。
在这里插入图片描述

weixin_45490901
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
重定向cookie过去_python爬虫(网页重定向怎么破?)
weixin_39915815的博客
12-03 1038
*****声明:此实例仅用于学习 *****1.网页重定向 。在分析房天下网站,不难发现每个网页有个重定向,比如:访问网页https://cd.esf.fang.com/chushou/3_211293494.htm会跳转至https://cd.esf.fang.com/chushou/3_211293494.htm?rfss=1-b71f212cbb874a451c-3a 这个网页,其实两个地址...
“chrome下设置cookie无效问题”——cookies间换算bug
jianyi7659的专栏
10-30 1789
谷歌浏览器http协议 cookies间换算bug前言现象https情况谷歌坑爹啊 前言 最近在用cas做单点登入系统,将系统通过域名映射到外网发现谷歌浏览器中cas/login登入成功后,一刷新又弹出登入界面问题。火狐和ie都是ok的。后来各种检查才发现谷歌浏览器的bug。 现象 这对这个诡异问题,通过网络映射、系统配置等情况反反复复进行确认认证。发现返回的cookies过期间在换算的...
ThinkPHP的cookie和session冲突造成Cookie不能使用的解决方法
10-25
主要介绍了ThinkPHP的cookie和session冲突造成Cookie不能使用的解决方法,需要的朋友可以参考下
JavaScript 专家级编程(三)
最新发布
龙哥盟
08-17 1144
如前所述,物理计算不仅仅是硬件的事情。它实际上是物理和虚拟之间精心编排的 I/O 循环之舞。您选择的语言决定了舞蹈在用户看来有多轻松。事实证明,JavaScript 让这两个伙伴几乎毫不费力地拥抱在一起,但原因可能出乎你的意料。JavaScript 具有适合物理计算的技术和语义特征,并且不断增加的库使得硬件变得不那么困难。本节解释了为什么 JavaScript 是物理计算的最佳选择。风格经常被用来衡量质量。当某人被描述为有风格或,它几乎普遍被认为是一种补充。
【接口测试】登录重定向302,获取不到cookie
weixin_30512785的博客
07-30 2593
最近在研究系统的接口测试,我用的是requests,但是卡在登录许久,原因是登录后重定向(302)了,用requests.session()保持cookie登录也不行, 试了各种方法就是获取不到登录后的cookie,在网上查了许久资料,得知用httplib2可以 官网上httplib2对重定向有这样的解释: Automatically follows 3XX redirects...
让人抓狂的 URL 重定向的 Cookie 问题
yuer629
06-01 1万+
想象下面两行伪代码:1. setCookie(...);2. redirect(new_web_url);首先设置一个Cookie,然后重定向到另外一个网址,这个网址跟当前网站的域名不同在多数情况下这两行代码执行毫无问题cookie 正确保存到浏览器,页面也跳转到了新的url上。但是有很多firefox浏览器下可能出现的问题cookie无法写入,而 url 跳转成功。还不一定能重现出来这种问题...
javaweb(spring框架)跨域问题 以及无法给后端cookie
weixin_43208261的博客
06-03 624
当在前端设置withCredentials: true后,如果后端没有设置Access-Control-Allow-Credentials为true,则会出现CORS错误。这是因为withCredentials: true会启用跨域请求发送凭据(如cookie)的功能,而如果后端没有设置Access-Control-Allow-Credentials为true,则会阻止跨域请求发送cookie,从而导致CORS错误。根据问题2 在前端加上 withCredentials: true。
解决重定向丢失cookie问题
热门推荐
yanjianpeng_2018的博客
03-02 4万+
java设置cookie,重定向后这个cookie获取不到通过设置domain、path可以获取到这个cookiedomain 是域 path 是访问的路径HttpServletResponse httpServletResponse = FacesUtil.getHttpServletResponse();Cookie cookie = new Cookie(ConstantProp.DEFAU...
偏方解决让蛋疼的PHP会话在谷歌浏览器丢失的问题.pdf
05-13
谷歌浏览器访问PHP页面,$_SESSION变量无法存值,但IE浏览器访问没有问题。说明,PHP的会话机制在服务端没有...最后解决这个问题的方法很诡异,也只是解决了,不知道为什么,因为或许只有谷歌才知道,所以就做偏方了。
前端代码覆盖率问题及总结(二)
saii的专栏
12-17 1320
更新于2020.06.18 不管修改环境还是全局插桩打包出来的文件都没有插桩成功 同在调研新的前端项目接入的候跟我反馈到:打包test环境后能够正常插桩(这个是现象,因为我们的配置 istanbul的插件只是在test环境下才生效),然后再重新打包pro环境的候,打包出来的也仍然含有插桩的内容。 问题诡异,于是我这边也重新做了个验证,先打了pro环境的包发现没有插桩,很正常。重新切换到test环境进行打包结果竟然没有插桩。这个就真的很奇怪了。我一度怀疑是package script设置环境变量.
跨域问题是怎样造成的?
爱写代码的程序员
05-09 776
跨域问题的由来 相信很多人都或多或少了解过跨域问题,尤其在现如今前后端分离大行其道的候。 你在本地开发一个前端项目,这个项目是通过 node 运行的,端口是9528,而服务端是通过 spring boot 提供的,端口号是7001。 当你调用一个服务端接口,很可能得到类似下面这样的一个错误: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上(img-gi6zOBkM-1589015502774)(https://upload-images.jianshu.io/upload_imag
Vector版本兼容以及简单使用
06-21 897
Vector Drawable Android 5.0发布的候,Google提供了Vector的支持。Vector Drawable相对于普通的Drawable来说,有以下几个好处: Vector图像可以自动进行适配,不需要通过分辨率来设置不同的图片Vector图像可以大幅减少图像的体积,同样一张图,用Vector来实现,可能只有PNG的几十分之一使用简单,很多设计工具,都可以直接导
This Set-Cookie was blocked because …… cookie无法写入的问题解决
qq_44761854的博客
03-12 674
代码调试了半天都没发现什么异常,最后追踪发现登陆完跳回来session都丢了,然后再检查,发现登录接口返回的Set-Cookie指令,在浏览器上没有写入成功。最后查明原因,当HTTPS下有了一个Cookie后,再想在同域名的HTTP站点下写入Cookie就会失败,解决办法就是删除HTTPS站点下的Cookie。因为某种原因,浏览器以HTTPS请求了不支持HTTPS的一个站点,然后删掉地址栏中的S,访问HTTP站点,尝试登录,表现的结果为登录完又回到登录页。
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 2105
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端来的Cookie可以在前端正常保存,但当前端向后端请求携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
Cookie 的 SameSite 属性
日积月累的博客
11-22 6637
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的候,不妨也扯到这件事情来,一能代表你对前端事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
解决新版chrome浏览器SameSite属性cookie拦截问题
carry_chenxiaodong的博客
03-02 1万+
问题现象: 最近升级了新版chrome浏览器后,发现系统正常iframe嵌套其他域名网站页面突然无法显示了,页面空白,但是请求未报错。 原因还原: 1、将嵌套页面的url单独窗口访问,一切正常(页面显示正常,页面请求正常获取cookie信息),排除iframe页面问题。 2、进一步尝试,将这个带有链接的iframe放在一个全新的html文件中也不能正常访问,排除当前系统的iframe加载问题。 3、刚刚新建的html文件在火狐浏览器中打开可以正常访问。 4、新版chrome浏览器访问...
Cookie 的 SameSite 属性(阮一峰的网络日志)
qq_42967540的博客
09-15 1027
Cookie 的 SameSite 属性(阮一峰的网络日志) Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 CookieSet-Cookie:id=a3fWa; 用户后来又访问了恶意网站ma
浏览器系列之 Cookie 和 SameSite 属性
小易不止于搬砖的博客
07-05 1393
Cookie 的设置、属性
在vsc中使用存取cookie的方法,制作一个简单答题界面
06-09
好的,我可以帮你解答这个问题。 首先,我们需要安装一个名为 `cookie-parser` 的 Node.js 中间件,来帮助我们在 Express 应用程序中处理 cookie。你可以通过以下命令来安装: ``` npm install cookie-parser ``` 接下来,我们可以使用以下代码在 Express 应用程序中启用 cookie-parser: ```javascript const express = require('express'); const cookieParser = require('cookie-parser'); const app = express(); app.use(cookieParser()); ``` 现在我们已经可以处理 cookie 了。接下来是如何制作一个简单答题界面。 我们可以使用以下代码来定义一个简单的路由,当用户访问 `/quiz` 路径,会显示一个包含两个问题的答题界面。用户回答完问题后,答案会保存在 cookie 中。 ```javascript app.get('/quiz', (req, res) => { // 检查 cookie 中是否已经保存了答案 const answered = req.cookies.answered || []; // 定义两个问题和答案 const questions = [ { id: 1, text: '2 + 2 = ?', options: [ { text: '3', value: false }, { text: '4', value: true }, { text: '5', value: false }, ], }, { id: 2, text: '5 - 3 = ?', options: [ { text: '2', value: true }, { text: '3', value: false }, { text: '4', value: false }, ], }, ]; // 检查哪些问题已经回答过了 const unanswered = questions.filter(q => !answered.includes(q.id)); // 如果所有问题都已经回答过了,显示一个消息 if (unanswered.length === 0) { res.send('你已经回答过所有问题了!'); return; } // 获取下一个需要回答的问题 const question = unanswered[0]; // 显示问题和选项 let html = `<p>${question.text}</p>`; html += '<form method="post">'; for (const option of question.options) { html += `<input type="radio" name="answer" value="${option.value}"> ${option.text}<br>`; } html += '<input type="submit" value="提交">'; html += '</form>'; res.send(html); }); app.post('/quiz', (req, res) => { // 获取用户提交的答案 const answer = req.body.answer; // 检查 cookie 中是否已经保存了答案 const answered = req.cookies.answered || []; // 将这个问题的 ID 添加到已回答列表中 const questionId = req.body.questionId; answered.push(questionId); // 将答案保存在 cookie 中 res.cookie('answered', answered); // 重定向到下一个问题页面 res.redirect('/quiz'); }); ``` 以上代码使用了两个路由: - `GET /quiz`:显示答题界面。 - `POST /quiz`:处理用户提交的答案,并将答案保存在 cookie 中。 现在你可以启动你的 Express 应用程序,并访问 `http://localhost:3000/quiz` 来查看结果了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值