升级到Chrome 80+的SameSite问题,及Asp.net和aspnetcore站点修改

最新推荐文章于 2024-03-11 14:52:26 发布
最新推荐文章于 2024-03-11 14:52:26 发布
阅读量1.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xtjatswc/article/details/107805673
版权

Chrome 80 解决步骤:

  1. 地址栏:chrome://flags
  2. 搜索:SameSite by default cookies
  3. 选择:disabled
  4. 重启浏览器

 

缘起

有用户反映,之前正常使用的站点,出现无法登录情况。

调查

  1. 用户使用场景,使用iframe嵌套了我们的Web,跨在一个跨域
  2. 用户升级了最新的Chrome 80
  3. 根据浏览记录看到,Post请求没有发送Cookie
  4. Chrome console 提示:A cookie associated with a cross-site resource at http://xxxx/ was set without the SameSite attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

原因

Chrome 80 版本升级,提升了Cookie SameSite的默认安全等级,强推 SameSite Cookie

  • Chrome <80 默认值:SameSite=None;请求带Cookie
  • Chrome >=80 默认值:SameSite=Lax;请限制带Cookie

什么是SameSite

SameSite 是 Chrome 51 版本为浏览器的 Cookie 新增的了一个属性, SameSite 阻止浏览器将此 Cookie 与跨站点请求一起发送。其主要目标是降低跨源信息泄漏的风险。同时也在一定程度上阻止了 CSRF(Cross-site request forgery 跨站请求伪造)。

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值:

  • Strict
  • Lax
  • None

Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: username=cnblogs; SameSite=Strict;

Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: username=cnblogs; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接发送 Cookie发送 Cookie
预加载发送 Cookie发送 Cookie
GET 表单
发送 Cookie发送 Cookie
POST 表单发送 Cookie不发送
iframe <iframe src="..."></iframe>发送 Cookie不发送
AJAX $.get("...")发送 Cookie不发送
Image <img src="..." >发送 Cookie不发送

设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

None

Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

只设置SameSite=None,非https协议时,None无效,SameSite=Lax;

Set-Cookie: username=cnblogs; SameSite=None

设置SameSite=None,协议Https时,None有效

Set-Cookie: username=cnblogs; SameSite=None; Secure

Chrome策略更新

在旧版浏览器,如果 SameSite 属性没有设置,或者没有得到运行浏览器的支持,那么它的行为等同于 None,Cookies 会被包含在任何请求中——包括跨站请求。

chrome <80, 默认SameSite=None:

Set-Cookie: username=cnblogs;

chrome:
Set-Cookie: username=cnblogs; SameSite=None;

但是,在 Chrome 80+ 版本中,SameSite 的默认属性是 SameSite=Lax。换句话说,当 Cookie 没有设置 SameSite 属性时,将会视作 SameSite 属性被设置为Lax 。如果想要指定 Cookies 在同站、跨站请求都被发送,那么需要明确指定 SameSite 为 None。具有 SameSite=None 的 Cookie 也必须标记为安全并通过 HTTPS 传送。

chrome >80,默认SameSite=Lax

Set-Cookie: username=cnblogs;

chrome:
Set-Cookie: username=cnblogs; SameSite=Lax;

如何解决

个人用户解决

站点不支持,个人可以设置浏览器,禁用SameSite=Lax设置解决:

Chrome 80 解决步骤:

  1. 地址栏:chrome://flags
  2. 搜索:SameSite by default cookies
  3. 选择:disabled
  4. 重启浏览器

Asp.Net站点解决

net 4.7.2+
  1. 需要netframeword 4.7.2 or 4.8
  2. 安装补丁:KB补丁

Web.Config 设置

<configuration>
 <system.web>
  <compilation targetFramework="4.7.2"/> <httpRuntime targetFramework="4.7.2"/> <httpCookies sameSite="[Strict|Lax|None|Unspecified]" requireSSL="[true|false]" /> <anonymousIdentification cookieRequireSSL="false" /> <!-- No config attribute for SameSite --> <authentication> <forms cookieSameSite="Lax" requireSSL="false" /> </authentication> <sessionState cookieSameSite="Lax" /> <!-- No config attribute for Secure --> <roleManager cookieRequireSSL="false" /> <!-- No config attribute for SameSite --> <system.web> <configuration>
注意:
  1. sessionState 设置: ASP.NET_SessionId Cookie
  2. httpCookies 设置:普通Cookie
  3. cookieRequireSSL="True",必须是Https协议
aspnetcore 3.1

ConfigureServices:

services.Configure<CookiePolicyOptions>(options =>
    {
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });
xtjatswc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SameSite .NET Core(2.1/2.2/3.0/3.1)源码
09-11
SameSiteCookiesServiceCollectionExtensions.cs 解决 Chrome 等浏览器因为 SameSite 导致的问题。 使用方法参见:https://asdfg.blog.csdn.net/article/details/108514763
使用Chrome和DevExpress ASP.NET组合框与您的计算机对话
04-05
在本文中,我们将深入探讨如何利用Google Chrome浏览器与DevExpress ASP.NET组合框进行交互,从而实现高效、用户友好的计算机对话。DevExpress ASP.NET控件库提供了一系列高性能、功能丰富的UI组件,其中组合框...
.netcore 5 session_小白开学Asp.Net Core 六 —— 探究.Net Core 跨平台的奥秘
weixin_39781143的博客
12-01 58
1、写这篇文章的初衷  有好多朋友反馈看不懂我写的开源的一个练手项目(GitHub:https://github.com/AjuPrince/Aju.Carefree)也有好多人都希望我能写一些简单的入门的文章,记得前几天在群里有人问为什么 .Net Core 能跨平台,在聊天中发现也有好多人在已...
ASP.NET Core Cookie SameSite
dotNET跨平台
09-13 860
在较多的项目中,Cookie 是比较常用的一种状态保持的选择。比如常见的例子:用户登录成功后,服务器通过 set-cookie 将会话Id设置到当前域下,前端在调用后端接口时,会自动将同...
Chrome94版本后,本地解决Cookie SameSite跨站限制
TragueZw的博客
07-26 1206
Chrome samesite 本地设置
chrome浏览器解决跨域请求SameSite方案,Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
weixin_43777074的博客
06-07 4394
Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
ASP.NET编程知识】iframe跨域与session失效问题的解决办法.docx
05-20
ASP.NET 开发中,跨域和 Session 失效问题是一个常见的问题,特别是在使用 iframe 嵌入远程应用时。今天,我们来讨论这个问题的解决办法。 什么是跨域和 Session 失效? -------------------------------- 跨域...
ASP.net Menu控件在Google Chrome和Safari浏览器下显示错位的解决办法
10-29
ASP.NET网站项目中添加Others.browser内容如下
chrome-same-site
07-16
将指定网站上的 Cookie 恢复为旧版 SameSite 行为,下载之后将baidu.com改为自己需要设置的域名
Chrome 同站策略(SameSite问题
weixin_46607967的博客
10-12 1445
iframe中输入账号密码后登录无法跳转
SpringBoot+Vue3项目跨域配置及Set-Cookie:SameSite=Lax 问题
最新发布
m0_68516464的博客
03-11 546
Set-Cookie:SameSite=Lax 问题,跨域配置
ASP.NET Core 中的会话和应用状态
纸上得来终觉浅,绝知此事要躬行
11-27 2025
原文地址:https://docs.microsoft.com/zh-cn/aspnet/core/fundamentals/app-state?view=aspnetcore-2.1 作者:Rick Anderson、Steve Smith、Diana LaRose 和 Luke Latham HTTP 是无状态的协议。 不采取其他步骤的情况下,HTTP 请求是不保留用户值或应用状态的独立消...
ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用
weixin_34409822的博客
06-01 1019
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录时 Antiforgery Token 总是验证失败。 日志中记录的对应错误是 Antiforgery token validation failed. The required antiforgery cookie "xxx.Antiforgery" is not present. 今天在...
.net core 连接数据库出错的解决方式
softuse的博客
11-27 3801
No database providers are configured EF7     public void ConfigureServices(IServiceCollection services) { services.Configure&lt;CookiePolicyOptions&gt;(options =&gt; ...
问题解决】SameSiteMode.None取不到session问题
机智如我
08-14 1293
SameSiteMode.None取不到session问题问题描述问题原因SameSite解决方式 问题描述 在.net core 2.1 环境下,设置SameSiteMode.None,同时设置options.CheckConsentNeeded = context => false;依旧session为空。浏览器为chorme。 问题原因 根据微软描述,ASP.NET Core 2.1 内置了对SameSite属性的支持,但它已写入原始标准。 修补后的行为更改了的含义 SameSite.None
前后端分离Cookie sameSite坑 跨域之坑
热门推荐
qq_37060233的博客
01-22 5万+
在前后端分离解决跨域问题过程中,利用CORS解决跨域问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,中间反反复复,最后要放弃的时候无意中看到一个大神的博客。 SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnb...
同源政策(same-origin policy)
TKOP_的博客
04-20 1697
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
关于ChromeSameSite安全机制的问题及解决方案
老男孩的博客
08-07 4877
谷歌浏览器的SameSite安全机制的问题,浏览器在跨域的时候不允许request请求携带cookie,所以会带来一些系列问题。。。。 以下方案只在80版之下使用: 在服务端使用中间件进行允许跨域设置: res.set('Access-Control-Allow-Origin',req.headers.origin);//允许跨域的请求源 res.set('Access-Control-Allow-Credentials',true);//允许跨域后session的存取 res.set('Access.
如何让chrome可以 samesite by default cookies
04-20
可以通过在Chrome浏览器URL栏中输入chrome://flags/#same-site-by-default-cookies并启用SameSite by default cookies标志来实现。启用此功能后,Chrome浏览器将根据SameSite属性自动为所有cookie添加SameSite属性。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值