chrome浏览器跨域Cookie的SameSite问题导致访问iframe内嵌页面异常

最新推荐文章于 2024-07-05 15:50:58 发布
最新推荐文章于 2024-07-05 15:50:58 发布
阅读量6w 收藏 50
点赞数 10
分类专栏: 网络安全 文章标签: cookie web http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhyc812/article/details/108623844
版权

Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute

问题还原

原先一直访问正常的系统,最近打开页面一直加载不出来。

  1. 初步分析,该系统为iframe内嵌第三方系统页面,将iframe中的链接复制出来可以单独访问,排除第三方系统的问题。
  2. 进一步尝试,将这个带有链接的iframe放在一个全新的html文件中也不能正常访问,排除当前系统的iframe加载问题。
  3. 发现问题,将刚刚新建的html文件再火狐浏览器中打开可以正常访问。

最后定位是浏览器兼容性问题,当前浏览器:Google Chrome ,版本85.0.4183.102(正式版本) (64 位)。

打开浏览器控制台发现接口请求报500错,控制台出现以下提示(Indicate whether a cookie is intended to be set in a cross-site context by specifying its SameSite attribute):
在这里插入图片描述
在这里插入图片描述

原因分析

Google 在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为 SameSite=None(https://www.chromestatus.com/feature/5633521622188032
SameSite的作用就是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪,此举是为了从源头屏蔽 CSRF 漏洞。
关于 SameSite 属性的介绍,可参考阮一峰的《Cookie 的 SameSite 属性》。

上述问题中,在当前系统访问第三方系统时,带了一些cookie过去,然后被这个SameSite机制拦截掉了。

可能在 Chrome 80 中受到影响的场景如下

  1. 组件数据基于第三方网站的登录态返回相关用户数据的API请求
  2. HTTP 本地部署

解决方案

  1. Chrome浏览器打开新标签页,地址栏中分别输入

chrome://flags/#same-site-by-default-cookies
chrome://flags/#cookies-without-same-site-must-be-secure

在这里插入图片描述
在这里插入图片描述

然后如上如图所示将这两个配置均设置为Disabled

  1. 不使用谷歌浏览器或者将谷歌浏览器降级到 Chrome 79 及以下版本,并关闭自动更新。

  2. 将两个系统部署在同一台服务器,通过相同IP同源策略传送cookie。

  3. 购买SSL证书,升级HTTP服务,将 API 切换为 HTTPS 协议请求,并且检查响应头中的 Set-Cookie 中是否包含了 SameSite=None 和 Secure字样。

CoreyJu
关注
  • 10
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3552
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
chrome 浏览器跨域插件下载
04-07
"chrome 浏览器跨域插件下载"这个主题正是针对这一问题,提供了能够帮助开发者解决跨域问题的工具。 Moesif Origin .crx 是一个Chrome浏览器的扩展插件,它主要用于调试和分析API请求,尤其是处理跨域问题时非常...
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息在线产品(http://iap.pgia.net)测试各种浏览器的兼容性时,发现IE浏览器(v7\8)都无法登录(总是提示验证码不匹配
Cookie 的 SameSite 属性
一劍傾城
07-29 1103
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换...
Cookie属性SameSite作用
橘导的博客
04-29 417
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
谷歌提示Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
Pandora_417的博客
07-01 1万+
是chrome 更新以后出现的问题,主要是为了防止CSRF 攻击,屏蔽了第三方cookies。 警告信息中讲到一个SameSite属性,是为了限制第三方的cookies,有三个属性设置Strict、Lax、None。1 、回退浏览器版本 这个最简单了,回退浏览器比如Chrome 把他降到79 及以下版本就可以了,不过只是应急用的 2、修改浏览器配置 在浏览器中输入下面的url,修改same-site-by-default-cookies及cookies-without-same-site-must-be-s
网站开发跨域iFrame嵌入之SameSite&CSRF
rav009的专栏
01-10 1629
简而言之,就是这种攻击手段利用了iframe或其他一些技术,是A域名的网站能访问B域名的session和cookie,进而甚至于能让A域名的网站利用session和cookie中的信息伪装成用户向B域名发起请求。想象一下A域名是一个银行网站,那么B域名就能伪装成用户请求银行转账了。当SameSite等于Lax或Strict时,iframe中的不同域名的页面不会被允许访问session。最近使用Flask开发了一个网站的应用,要实现在iframe中嵌入一个来自不同域名的页面
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
weixin_46331416的博客
10-23 5204
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute 原因: 分析: Google 在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.
调试显示Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute问题
然小梨的博客
09-25 1万+
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute Because a cookie’s SameSite attribute was not set or is invalid, it defaults to SameSite=Lax, which prevents the cookie from being sent in a cross-site request.
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击和用户追踪)
qq_44700839的博客
10-20 499
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击和用户追踪) 遇到的问题: 新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 从 Chrome 51 开始,浏览器的 Cookie,新增加了一个 SameSite属性,用来防止 CSRF攻击和用户追踪。该设置当前默认是关闭的,但在 Chrome 80 之后,该功能默
关于Iframe如何跨域访问Cookie和Session的解决方法
01-20
最近做登录系统的整合,其中遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台,这个系统是第三方提供的一个加过密的系统,后台自动登录接口是自己分析出来的,没有单独提供,当从统一...
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
总的来说,针对IE浏览器中iframe跨域导致Session丢失的问题,关键在于理解浏览器对跨域Cookie的处理方式,特别是IE的独特限制。通过设置P3P头,可以通知浏览器允许iframe内的页面使用和共享Session,从而修复登录和...
iframe、SameSite与CEF
顺其自然~专栏
06-09 872
背景 本人使用CEF(或是Chrome)来加载开发的前端页面,其中使用iframe嵌入了第三方页面,在第三方页面中需要发送cookie到后端,然而加载会报错,第三方页面后端无法接受到Cookie。 原因 由于CEF(Chrome内核)的安全策略,在51版本以前、80版本以后,绝大多数情况下是禁止嵌入的iframe提交Cookie的(下文会列出哪些禁止),所以需要浏览器配置策略来允许iframe提交Cookie,这个策略就是SameSite。 SameSite 属性可以让 Cookie 在跨站请求时不
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
最新发布
weixin_39459811的博客
07-05 217
将SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
通过iframe嵌入三方系统时遇到的跨域问题及解决方案
_老逄
10-30 1万+
总结在iframe嵌入第三方系统时遇到的跨域访问问题
chorme 80浏览器 的iframe 报错samesite问题
qq_41566366的博客
08-04 2209
我们有三个站,为了实现登录状态的同步,使用了iframe。但是在使用iframe的时候,一直samesite的错,经过公司大佬查询才发现,这是因为chrome升级到80版本后,默认开启了samesite。 快速解决方案: 1、打开Chrome设置,将chrome://flags/#same-site-by-default-cookies禁用,然后重启浏览器。 2、将SameSite属性值改为None, 同时 将secure属性设置为true。且需要将后端服务域名必须使用https协议访问。 3、由于
跨站cookies,SameSite
热门推荐
小朱的专栏
05-17 2万+
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute Because a cookie’s SameSite attribute was not set or is invalid, it defaults to SameSite=Lax, which will prevent the cookie from being sent in a cross-site reque
解决谷歌浏览器Cookie跨域问题this Set-Cookie didn
CEVERY的博客
03-16 1万+
问题: 项目发布后访问登录一直出现未登录的情况,本地运行就没问题。 后怀疑是发布配置问题,结果用postman直接接口登录访问某个被拦截的接口发现没问题。 最后,打开浏览器调试窗口发现了Set-Cookie响应头有个黄色的感叹号。this Set-Cookie didn.... 原因: Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 SameSite属性有: Strict、Lax、None 属性具体意义可参考:https://blog.csdn..
解决第三方使用iframe内嵌页面时无法正常登录访问问题
qq_28013889的博客
11-22 9285
主要解决了谷歌浏览器高版本浏览器88或以上,引用iframe内嵌页面,因为浏览器的安全策略存在跨域,无法使用cookie获取到token信息,导致页面加载不出来的问题
chrome浏览器跨域问题
08-09
对于 Chrome 浏览器的跨域问题,可以尝试以下几种解决方法: 1. 使用代理:在开发环境中,可以配置一个反向代理服务器,将请求转发到目标服务器并解决跨域问题。常见的代理服务器有 Nginx、Apache 等。 2. JSONP:JSONP 是一种利用 `<script>` 标签进行跨域请求的方法。通过在请求 URL 中添加一个回调函数的参数,服务器返回的响应会被包裹在该回调函数中,从而实现跨域请求。 3. CORS(跨源资源共享):CORS 是一种现代浏览器支持的跨域解决方案。服务器可以通过设置响应头中的 `Access-Control-Allow-Origin` 字段来指定允许跨域访问的源。例如,可以设置为 `Access-Control-Allow-Origin: *` 表示允许任意源进行跨域访问。 4. 代理插件:Chrome 浏览器中有一些插件可以帮助解决跨域问题,例如 SwitchyOmega、ModHeader 等。这些插件可以配置请求头、代理等信息,从而实现跨域请求。 需要注意的是,以上方法适用场景各有差异,选择合适的方法需要根据具体情况进行判断。此外,在生产环境中,应注意安全性和合规性,谨慎使用跨域解决方案。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值