谷歌浏览器SameSite=lax导致嵌入Iframe 地址无法设置cookie问题

最新推荐文章于 2024-03-06 17:17:07 发布
最新推荐文章于 2024-03-06 17:17:07 发布
阅读量1.2w 收藏 20
点赞数 6
分类专栏: java 文章标签: java cookie nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysyysjbama/article/details/108061969
版权

 

  • 问题描述:

    页面中通过Iframe嵌入了另外一个网页,但是嵌入的网页无法设置cookie,导致无法访问。仔细检查,在浏览Set-cookie的响应头出发现提示:This Set-Cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=lax", and was blocked because it came from a cross-site response which was not the response to a top-level navigation. ....

  • 原因:谷歌最新版的浏览器默认SameSite=Lax (该设置从2020 年7月14全面展开,具体见:https://www.chromestatus.com/feature/5088147346030592),如果设置SameSite=Lax , 并且嵌入Iframe的地址和iframe外的地址不是SameSite,那么嵌入iframe的地址将无法设置设置cookie。关于什么是SameSite,首先应该理解site,所谓Site就是域名后缀和其前面的第一部分,比如web.dev可以是一个Site,从而www.web.devstatic.web.dev 可以看成相同的Site。具体可以参考SameSite解释https://tools.ietf.org/html/draft-ietf-httpbis-cookie-same-site-00

  • 解决方法(提供三种作为参考):

    • 在谷歌浏览器搜索 chrome://flags/#same-site-by-default-cookies        chrome://flags/#cookies-without-same-site-must-be-secure 将这两项设置为Disabled,并重启浏览器。这种方法可以临时解决用户不能使用的问题。

    • 采用一定方法将嵌入Iframe的地址配置成 Same Site ,比如使用nginx 代理。

    • 在设置Cookie的响应头中添加 SameSite=None;Secure ,在Cookie响应头设置SameSite=None就可以替换谷歌浏览器的默认配置,而SameSite=None可以允许跨Site设置Cookie。一个完整的cookie响应头可以像这样: Set-Cookie: JSESSIONID=ACD341E8840C03003E4532921C21C035;Path=/begin01; SameSite=None; Secure ,至于怎么加响应头SameSite=None;Secure,可以考虑在nginx里设置,参考:https://blog.cat73.org/20170802/2017080201.nginx-cookie-sucure/,也可以在后台代码里设置,推荐nginx吧。这里注意一点 Secure 属性,这个属性说明设置的该cookie只能在https下传输,所以要求你使用https,不使用行吗,不行,因为SameSite=None 要求必须要和Secure=true一起使用。所以采用这个方法解决,你嵌入iframe的页面必须使用https。

  • 最后再附上两张解决前和解决后cookie响应头的对比

     解决前:

无法设置cookie

     解决后:

解决后图片

 

ysyysjbama
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
lax2_Lax-Wendroff_
09-29
Numerical analysis example
IFrame中Session丢失的解决办法
06-06
IFrame中Session丢失的解决办法
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax
最新发布
神zhi殇的博客
03-06 1110
它返回一个设置Cookie的响应,而且该Cookie未指定SameSite属性,浏览器就会发出这个警告。本地登录某个项目系统的时候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie导致401登录系统失败。这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。: SameSite属性是Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。
iframe(frameset)跨域session丢失问题终极解决方案
情感交流群:58429903 欢迎加入
01-13 2065
常常会遇到,iframe跨域时,另一个系统读不到第一个系统的session。或者有时能读到,有时session却莫名奇妙的丢失问题。下面,我们就这一问题做简要的分析并提出可行的解决方案         假定系统一中一个iframe,包含了系统二的东西。而系统一用户在此iframe加载后还会不定时的再请求系统二,而这第二次请求,往往会发生读不到第一次的请求的session问题
Chrome 80 Cookie跨域 Samesite Lax 的错误
热门推荐
郎涯技术
07-30 1万+
本地局域网前后端分离的项目,前端是192.168.123.90,后端是192.168.123.2。今天早上发现用户登录报告登录失败(本质原因是无法设置cookie)。一开始以为后端出问题了,但最近没改用户登录的相关逻辑,后来换火狐、edge 是可以的,并且有些人的 Google 可以正常登录。 有问题的Google浏览器的调试信息报告以下错误: 设置cookie时提示:This set-cookie didn't specify a "SameSite" attribute and was defaulte
IFrame带来的Session问题
燕窝
05-10 1万+
客户原来有个Web App系统A,我们要基于A开发一个系统B,但不希望B对A依赖太重,所以B被实现为一个独立的Web App(war)。A和B部署在同一个Weblogic server上,在A中可以导航到B,两个系统看起来像是一个系统。     有个小需求是,在B中希望显示一个页面,根据参数能展示出不同的信息。这个页面在A中已经存在,所以自然而然最快的方法就是在B中创建一个iframe来指向
浏览器默认设置SameSite属性的作用
oi
01-30 6995
系列文章目录 文章目录系列文章目录一、CSRF 攻击是什么二、SameSite 属性 一、CSRF 攻击是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造 CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。 一个典型的CSRF攻击有
前后端分离跨域问题及SameSite=Lax解决方法
少年有事问春风
09-07 2947
前后端分离跨域问题及SameSite=Lax解决方法
iframe调用action接口加载jsp时,session丢失问题
weixin_51172484的博客
04-23 1954
iframe调用action接口加载jsp时,session丢失问题问题来源分析问题解决问题插入链接与图片如何插入一段漂亮的代码片新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 问题来源 最近开发的ssh框架项目,要进行上线,因为项目中设计了登录权限,需要用到session来存储信息,在进行接口联调的时候才得知运营人员是使用iframe进行接口调用的,联调时发现接口可以直接在浏览器地址栏访问并加载出界面数据,在使用iframe调用时数据加载不出来 分析问题 在后台经过分析
关于iframe中session 失效问题
相当rapper的程序员
09-29 3630
关于session 失效问题 解决了很多天 ,终于再最后完美解决了问题、 首先说一下走的坑,一开始iframe 丢失session解决方法是用nginx进行反向代理来解决这个问题 配置如下 server { listen 80; # listen somename:8080; server_name 127.0.0.1; location /{ # root html;
iframe 跨域访问session/cookie丢失问题解决方法
qq_43679771的博客
02-21 6064
iframe 跨域访问session/cookie丢失问题解决方法
should-send-same-site-none:一个简单的实用程序,用于为“ SameSite = None” cookie属性检测不兼容的用户代理
05-17
)背景在2020年2月推出的Chrome 80中,Chrome会将未声明SameSite值的Cookie视为SameSite=Lax Cookie。 预计其他浏览器供应商将效仿Google的领导。 (请参阅此)。 如果您管理跨站点Cookie,则需要应用SameSite = ...
Euler equation_欧拉方程黎曼问题_有限差分法c++_通量分裂_Lax-Friedrichs法
09-11
采用Lax-Friedrichs通量分裂,使用C++编写程序,有限差分法
锐丰LAX DK4.1P前级处理器、效果器 调试软件
01-05
锐丰LAX DK4.1P前级处理器、效果器 调试软件
Lax-wendroff_Lax-Wendroff_
09-30
使用Lax-wendroff格式解方程 Ut+3Ux=0
beanUtils 在使用BeanHandle 和BeanListHandle查询数据进行自定义对象映射
ysyysjbama的博客
01-21 2841
beanUtils 在使用BeanHandle 和BeanListHandle查询数据进行自定义对象映射时,如果表的列名和对象属性名不一样,是不能映射映射到对象上的 本文就是介绍两种方法来解决这个问题。 注:本文适合对beanUtils有一定了解的人阅读,网上有很多beanUtils基础资料的介绍,我就不赘述了。 一,通过写sql来处理。 该方法比较简单当QueryRunner来查
jenkins 系统管理-系统设置 找不到保存按钮的问题
ysyysjbama的博客
10-15 1569
安装jenkins 时使用war包安装的方式,开始下载的长期支持版本 (LTS) 下面的war包,使用tomcat8 + jdk8 跑起来后,在系统管理-系统设置页面找不到 保存按钮,经过各种努力均没有解决问题。后来重新下载的每周更新版 的war,重新安装可以在系统设置看到保存按钮。原因估计是长期支持版本 (LTS)的war包有问题。 ...
苹果的浏览器设置SameSite属性Lax
06-13
是的,苹果的Safari浏览器在iOS 12及以下版本不支持SameSite=None属性,但支持SameSite=Lax属性。SameSite=Lax属性可以让浏览器在某些情况下发送跨站请求,例如用户从外部网站链接到您的网站时。 如果您需要在iOS 12及以下版本的Safari浏览器中设置Cookie的SameSite属性,您可以将其设置Lax,而不是None。同样,需要确保Cookie的Secure属性设置为true,以确保Cookie只能通过HTTPS进行传输。 需要注意的是,SameSite属性的设置与不同的浏览器和版本有关,您需要根据您的实际情况选择正确的设置。建议您参考相关文档和标准,以确保您的Cookie属性设置正确并且能够在各种浏览器和设备上正常工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值