Chrome 91+ 版本Iframe嵌入其他站点页面报错

已于 2023-05-12 16:44:48 修改
阅读量3.1k 收藏 8
点赞数
分类专栏: chrome 文章标签: chrome cookie
于 2021-06-25 18:11:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy596356456/article/details/118225249
版权

Chrome的SameSite策略

Chrome浏览器于51版本引入SameSite属性,默认值为None,用于管控跨站页面的Cookie携带问题

主要用于防止进行用户追踪和CSRF攻击,具体内容可以查看下边大神的文章

Cookie 的SameSite属性 --阮一峰的网络日志

Chrome 86版本发布时(2020年10月)开始滚动更新 SameSite的默认值为 Lax(追溯到80+版本),当时一批使用Iframe嵌入其他站点页面的系统出现异常,可以通过调整Chrome配置解决这个问题:

  1. Chrome地址栏输入:chrome://flags
  2. 搜索:SameSite
  3. 修改SameSite by default cookies配置为:Disabled
  4. 点击Relaunch重新启动

Chrome 91版本发布后取消了 SameSite by default cookies 的设置项,并设置SameSite的默认值为 Lax,修改浏览器配置的解决方案失效(安全是相对的,Google很霸道啊)

SameSite和SameOrigin

SameOrigin(同源)策略:只有相同来源的页面可以互相操作Cookie;这个比较好理解,就是A.com站点的 M.html页面使用iFrame嵌入了 A.com站点的 N.html页面,那么他们能够互相操作Cookie。如果A.com站点的 M.html页面使用iFrame嵌入了 B.com站点的 N.html页面,那么他们的Cookie是没办法互相操作的;

SameSite(同站)策略:只有相同站点的页面可以在嵌入时携带Cookie;这个可能不太好理解了。

首先就是同站:同站指的是两个 URL TLD+1 相同,不考虑协议和端口。即 http://a.younger.com和https://b.younger.com是符合SameSite的。详细规则可以参阅:

chrome浏览器 同站(SameSite)策略 

再来理解一下 携带Cookie :是指 跨站的iFrame页面 无法操作自己的Cookie,因为iFrame嵌入的跨站界面无法携带Cookie,就无法存入Cookie,可以理解为iFrame内部的页面在一个不支持Cookie的浏览器中打开了,所以使用Cookie的页面会出现报错,出现Cookie无法存取的情况

如何解决跨站Cookie存取异常

1.修改浏览器配置

Chrome 91版本之前的Chrome浏览器我们通过修改浏览器设置来解决这个问题(上边有解决步骤),这种方案是让用户告知浏览器,我的使用环境很安全,你不要替我想那么多。但Chrome 91+已经无法设置浏览器解决这个问题了(Chrome:我就是觉得你不安全,你也不懂安全,别乱配置了,让我来保护你[霸道脸])

针对Chrome 91+ 还有个修改浏览器配置的方案仍然是可行的:为Chrome创建一个快捷方式(也可在原快捷方式上修改),右键快捷方式->属性,在目标后拼接一段配置,示例:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --flag-switches-end 注意,路径和配置间有一个空格。后续就由这个快捷方式启动浏览器。

当然这种方案很low,让用户修改浏览器配置信息。但是由于方案简单,变成了一些站点的开发者偷懒的一种方案,这个方案我不推荐,降低了用户浏览器安全配置。  经过测试该方案已失效 2023/05/12  版本:113.0.5672.93

2.嵌入的站点修改为https站点

如果嵌入的页面站点为https的话,可以在存入Cookie时显式声明SameSite=None;

示例:Set-Cookie: widget_session=abc123; SameSite=None; Secure

注意,设置 SameSite=None;时后边必须跟上一个 Secure 标示该Cookie是安全的

只有在站点是https时以上方案有效

这个方案也要注意一个问题,就是你的站点证书必须在用户客户端是受信的,不然页面加载不出来不说,警告都弹不出来,这个方案我也不推荐

3.遵守SameSite规则

在规则中说了,只要两个页面是同站,就不会有问题。而SameSite的判断又比较宽松。

假如A站点和B站点都是咱们控制的,那咱们只需要申请几个子域名(eTLD+1相同),比如 http://a.younger.com,http://b.younger.com,http://a.younger.com:8066 等等,只要 后边 younger.com是一样的就行,分别给站点挂上域名,问题就解决了

假如父页面是咱们的站点,子页面不是咱们的站点,我们要确认是否有充足的理由必须使用嵌入页面的方式给用户使用非父页面的功能,如无必要,建议以新窗口的方式打开子页面。如果真的需要,再说吧。Chrome希望用户很清楚自己实际访问在哪个站点上。

YoungerXu
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
chrome升级后无法访问iframe页面
Jack_software的专栏
11-24 3189
现象: Google chrome升级,升级后版本 修改下面设置: chrome://flags/#same-site-by-default-cookies ,设置为 Disabled chrome://flags/#cookies-without-same-site-must-be-secure ,设置为 Disabled 重启浏览器 参考:https://developer.aliyun.com/article/743364 ...
Chrome浏览器+Chromedriver(版本98.0.4758.80)
02-16
这个特定的版本“98.0.4758.80”是Chromedriver的一个更新,确保与Chrome浏览器的相应版本兼容。 在自动化测试中,Chromedriver扮演着关键角色。它允许开发者通过Selenium WebDriver接口控制Chrome浏览器,执行各种...
谷歌浏览器SameSite=lax导致嵌入Iframe 地址无法设置cookie问题
ysyysjbama的博客
08-17 1万+
问题描述: 页面中通过Iframe嵌入了另外一个网页,但是嵌入的网页无法设置cookie,导致无法访问。仔细检查,在浏览Set-cookie的响应头出发现提示:This Set-Cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=lax", and was blocked because it came from a cross-site response which was not the r...
Day 96/100 ‘X-Frame-Options‘ to ‘sameorigin‘后如何嵌入iframe
xinghuowuzhao的博客
01-26 984
写在前面的话 今儿第一天入职; 被同事问了问题,之前没遇到过,这里记录下~ (一)问题 之前想嵌入其他网页的内容,直接用iframe; But,现在的问题是,原服务设置X-Frame-Options,限制了iframe嵌入; (二)相关知识 1、X-Frame-Options X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-from https://example.com/ .
解决iframe嵌套第三方网址不能访问
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入
谷歌浏览器版本浏览器88或以上,引用iframe内嵌页面,页面加载不出来
ラピスラズリ(Dawn)的笔记本
06-16 2606
解决方案: 在外层页面加上这个强制用ie就行了 <meta http-equiv = "X-UA-Compatible" content="ie=edge"> 其他需要ie浏览器兼容,谷歌浏览器不兼容的也可以试试这个 ...
解决iframe嵌套第三方网页,导致鉴权失败无法登录的问题
老衲的少女心i~
05-23 1万+
目录前言一、iframe是什么?二、401 (Unauthorized)三、解决总结 前言 最近遇到的一个问题,老项目的第三方以iframe嵌入的网页,无法正常登录了。 定位问题,发现: 控制台报错401 (Unauthorized),导致的无法正常登录。是因为我们iframe的问题,产生了跨域,导致我们的cookie无法共享。 提示:以下是本篇文章正文内容,下面案例可供参考 一、iframe是什么? HTML 内联框架元素 (< iframe >) 表示嵌套的browsing contex
DELPHI+chrome+替换WebBrowser让你的程序嵌入chrome浏览器.zip
03-12
DELPHI+chrome+替换WebBrowser让你的程序嵌入chrome浏览器,此控件非常方便的让你的程序内置chrome浏览器,解决老webbrowser的各种问题,非常方便。Chrome不挑食,基本上什么系统都可以跑,而且速度那是飞快,所以C/...
适用于Chrome 91版本内核的ChromeDriver安装包
09-20
其中Chrome Driver版本91.0.4472.114 (正式版本),具体安装配置方式可参考此篇博客:https://blog.csdn.net/weixin_46584887/article/details/118346541?spm=1001.2014.3001.5502
ChromeSetup+Chrome安装软件
02-13
7. **快速启动与页面加载**:Chrome优化了启动速度和页面加载时间,提供高效的浏览体验。 **三、Java与Chrome的关系** 虽然“Java”在标签中被提及,但Chrome本身并不依赖Java运行。Java是指甲骨文公司的Java平台...
Chrome版本 下载提供
05-26
"谷歌105版本.exe"可能是Chrome的一个具体低版本,例如版本号为105的安装包,而"ChromeSetup.exe"则是通用的Chrome安装程序,通常用于安装最新版本,但也有可能是特定版本的安装器。在下载这些文件时,确保从官方...
网站开发跨域名iFrame嵌入之SameSite&CSRF
rav009的专栏
01-10 1616
简而言之,就是这种攻击手段利用了iframe或其他一些技术,是A域名的网站能访问B域名的session和cookie,进而甚至于能让A域名的网站利用session和cookie中的信息伪装成用户向B域名发起请求。想象一下A域名是一个银行网站,那么B域名就能伪装成用户请求银行转账了。当SameSite等于Lax或Strict时,iframe中的不同域名的页面不会被允许访问session。最近使用Flask开发了一个网站的应用,要实现在iframe嵌入一个来自不同域名的页面
前端iframe嵌入第三方系统时访问报错
踏上征程
03-29 614
nginx配置了 X-Frame-Options,最简单的方法就是注释掉这一行或者将SAMEORIGIN改为AllowAll,但是毕竟有安全隐患。建议在nginx注释掉X-Frame-Options ,使用Content-Security-Policy来指定域名和相关的子域名有权镶嵌。
iframe、SameSite与CEF
顺其自然~专栏
06-09 868
背景 本人使用CEF(或是Chrome)来加载开发的前端页面,其中使用iframe嵌入了第三方页面,在第三方页面中需要发送cookie到后端,然而加载会报错,第三方页面后端无法接受到Cookie。 原因 由于CEF(Chrome内核)的安全策略,在51版本以前、80版本以后,绝大多数情况下是禁止嵌入iframe提交Cookie的(下文会列出哪些禁止),所以需要浏览器配置策略来允许iframe提交Cookie,这个策略就是SameSite。 SameSite 属性可以让 Cookie 在跨站请求时不
chrome浏览器iframe嵌套页面跨域无法获取cookie问题(SameSite 属性)
热门推荐
carry_chenxiaodong的博客
03-02 2万+
iframe
关于Chrome浏览器升级到80版本后受影响的场景以及解决方案
子涵先生
08-03 4967
背景 Google 将在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为SameSite=None(https://www.chromestat
跨域 iframe 内嵌页面 JavaScript 写 cookie 失败解决方法
jayccx的专栏
05-24 8687
iframe 跨域的场景下,无论是服务器,还是内嵌的页面,如果要写入 Cookie,都需要增加Secure;转载请注明出处。本文地址:跨域 iframe 内嵌页面 JavaScript 写 cookie 失败解决方法 - 前端路迹。
ThinkPHP跨域设置”samesite=none”和“secure”参数的方法和注意事项
wbryze的博客
03-29 3385
因开发插件需要,将另一个网站的数据通过AJAX添加到ThinkPHP制作 的一个网站上的购物车。 需要网站支持跨域请求同步COOKE,具体操作如下: /public/index.php 第二行添加以下代码: ACAO=′∗′;header("Access−Control−Allow−Credentials:true");//允许COOKIE共享header("XDomainRequestAllowed:1");//允许COOKIE共享IEif(!empty(ACAO = '*'; header("Acces
网站iframe内嵌第三方带登录页的网站cookie失效问题
qq_33593958的博客
08-13 4800
网站iframe内嵌第三方带登录页的网站时,在ie和火狐和部分谷歌浏览器是可以的,但是在升级版的谷歌浏览器中是无法访问的 问题是谷歌浏览器Chrome80后提示限制第三方cookie问题 参考:https://zhuanlan.zhihu.com/p/107126906 升级内容 JavaScript Optional chaining 和 Nullish coalescing 正式支持。 Favicon 图标支持 SVG 格式。 移除对 FTP 的支持。 Web workers 中支持 E
chromechromedriver都是124版本还是报错
最新发布
04-25
ChromeChromedriver是两个不同的软件,它们的版本号并不一定要完全相同。Chrome谷歌浏览器,而Chromedriver是用于自动化测试的工具,用于控制和操作Chrome浏览器。 通常情况下,Chromedriver的版本应该与你所使用的Chrome浏览器版本兼容,但并不要求完全相同。如果你使用的Chromedriver版本Chrome浏览器版本不兼容,可能会导致报错或无法正常工作。 建议你根据你所使用的Chrome浏览器版本,下载对应版本Chromedriver,并确保它们之间的兼容性。你可以在Chromedriver官方网站或者其他可靠的资源中找到相应的版本信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值