【教程】chrome关闭跨域策略cors、samesite,跨域带上cookie

已于 2023-09-15 09:58:28 修改
阅读量5k 收藏 7
点赞数 2
分类专栏: Windows10 文章标签: chrome 前端 csrf 经验分享 firefox
于 2022-06-30 15:19:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunmuq/article/details/125541147
版权

谷歌浏览器允许跨域origin,disable samesite,方便本地开发调试,测试csrf跨站请求伪造漏洞

写稿时间:2022年6月30日

犹记得两年前,测试csrf漏洞时得心应手。现如今,csrf已成历史

chrome,Firefox更新迭代到现在,已将跨域请求打到苟延残喘

苦了本地调试的开发人员,前端一个端口,后端一个端口,就跨域无法带cookie了

网上广为流传的开启跨域的方法,以以下命令启动chrome:

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:\ChromeDevUserData"

这会启动一个和你原本chrome互不干扰的浏览器,但目前实测最新版浏览器,依旧不能复现csrf,但是用以下增强版,似乎是能解决本地调试前后端时的跨域问题的

"C:\Program Files\Google\Chrome\Application\chrome.exe" --test-type --disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir="D:\ChromeDevUserData"

依旧不能复现csrf,想复现,只能使用旧版chrome

旧版chrome可以在这里直接下载:https://www.chromedownloads.net/chrome64win-stable/

如果不想用百度云盘,而且想在官网下载的话,可以这样操作

  1. 根据chrome版本号,找到内部的版本号

https://omahaproxy.appspot.com/

  1. 根据内部版本号,去下载离线包

https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html

亲测可用的版本:722274,19年12月的版本

选win64 zip使用上述增强参数启动即可


云牧青
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷歌浏览器优雅的关闭cors跨域
花子占爷的博客
07-27 7065
浏览器跨域是一个常见的问题,在网络开发中涉及到多个不同域名的网页时可能会遇到。跨域是浏览器的一项安全策略,用于防止恶意网站利用跨域访问用户的敏感信息。当一个网页从一个域名请求访问另一个域名的资源时,如果两个域名不同,就会发生跨域问题。浏览器会执行一些限制,例如阻止跨域脚本的读取和修改其他域名的内容。
Ajax跨域请求COOKIE无法带上的完美解决办法
12-09
1、原生ajax请求方式: 1 var xhr = new XMLHttpRequest();  2 xhr.open(“POST”, “http://xxxx.com/demo/b/index.php”, true);  3 xhr.withCredentials = true; //支持跨域发送cookies 4 xhr.send(); 2、jquery的ajax的post方法请求: $.ajax({ type: "POST", url: "http://xxx.com/api/test", dataType: 'json',     // 允许携带证书
新版谷歌浏览器CROS跨域问题
最新发布
超梦梦梦梦的博客
05-21 428
搜索Block insecure private network requests,将其设置为Disabled。关闭谷歌浏览器重新打开网页。
关闭浏览器的跨域校验
程序员朱永胜
08-31 550
在“目标”字段的"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"后面添加 --disable-web-security --user-data-dir=C:\edgeDevData(你在步骤2中新建的文件夹),然后点击确定。通过该快捷方式打开 Edge,如果顶部出现如下提示,则说明设置成功。再次尝试之前访问失败的资源,看看在当前浏览器环境下是否可以成功访问。在本地任意位置新建一个文件夹,例如在 C 盘新建文件夹。
Chrome CORS 安全策略解决方案
qq_42881675的博客
07-06 1587
谷歌 CORS 安全策略解决方案 针对莫能臣前端同事的日志。 问题 谷歌在 80 版本的时候使用了 HTTP 响应头属性 SameSite,它用于声明 Cookie 是否仅限于第一方或者同一站点上下文中。 简单地说,SameSite 决定了跨域Cookie 是否能够存储。 按理说这是后端的事,让后端加响应头就行了,但是 这个属性在非 https 协议时是强制开启的。 这就很麻烦了,线下搞个 https 成本太高。 Chrome 在 80 ~ 91 版本时,可以修改浏览器配置关闭此功能。91 版本后浏览器
如何关闭Google Chrome跨域限制(cross-origin)
qq_43094622的博客
11-20 8440
如何关闭Google Chrome跨域限制(cross-origin)
chrome浏览器禁用跨域功能
weixin_43160044的博客
02-17 5929
chrome浏览器禁用跨域功能
浏览器提示--disable-site-isolation-trals这会带来稳定性和安全风险
m0_53503396的博客
01-10 4837
浏览器提示–disable-site-isolation-trals这会带来稳定性和安全风险–disable-site-isolation-trals 如上图所示 解决方法: 地址栏输入: Edge浏览器: edge://flags/#site-isolation-trial-opt-out chrome浏览器: chrome://flags/#site-isolation-trial-opt-out 将下图红色框内的选项改为default 重启浏览器即可! ...
关闭chrome浏览器安全策略,允许跨域请求
eshine Lau 的博客
04-03 1458
本地调试项目,接口出现cors错误,如何能跨过拦截,继续调试?前端在调试代码的时候,可能会遇到后端服务暂未设置cors配置的情况,这时候如果我们想通过本地localhost域名请求绝对接口路径,那么就会触发浏览器的cors安全策略,导致请求被拦截。如果我们不想做其他改变,有什么办法可以继续调试呢?可以使用下面方式,将浏览器的安全策略关闭,就可以继续调试了。
跨域】一篇文章彻底解决跨域设置cookie问题!
lonelysnowman的博客
01-08 1万+
之前做项目的时候发现后端传过来的 SetCookie 不能正常在浏览器中使用。是因为谷歌浏览器新版本Chrome 80将Cookie的SameSite属性默认值由None变为Lax。接下来带大家解决该问题。
P3P Header解决Cookie跨域的问题
09-05
需要注意的是,虽然P3P在某些情况下可以解决跨域Cookie的问题,但它并不是所有浏览器都支持的标准。特别是现代浏览器如ChromeFirefox已经不再依赖P3P来处理跨域隐私问题,而是更多地依赖于更严格的同源策略CORS...
allow-cors-access-control.crx.zip
04-28
《详解Access-Control-Allow-Origin与Chrome跨域插件的使用》 在互联网开发中,跨域问题一直是困扰开发者的重要难题之一。跨域,即一个域下的文档或脚本尝试请求另一个域下的资源时,由于浏览器的同源策略限制,...
allow-cors-access-control插件.zip
10-11
标题 "allow-cors-access-control插件.zip" 指向的是一款用于解决跨域问题的Google浏览器插件。跨域资源共享(CORS)是Web开发中的一个重要概念,它允许浏览器在执行JavaScript时请求原本禁止的来自不同源的资源。这...
allow-cors-access-control.zip
10-08
总结,这个"allow-cors-access-control.zip"压缩包提供的CRX扩展,可能是用于帮助用户和开发者在Chrome浏览器上更方便地处理CORS相关的跨域问题,提供了调整和测试跨域策略的功能。在使用此类工具时,务必了解其工作...
Chrome浏览器控件Delphi版
10-28
CEF4Delphi提供了设置来控制是否启用安全功能,如SSL证书检查、跨域资源共享(CORS策略等。同时,你还可以通过设置Cookie管理策略来控制用户数据的存储和访问。 为了优化性能,你需要了解CEF4Delphi的缓存机制。...
跨域问题解决方法: chrome浏览器关闭CORS策略
热门推荐
skysys的研究小屋
02-03 2万+
Chrome的快捷方式后面加:--args --disable-web-security --user-data-dir 然后打开这个快捷方式
跨域问题解决:chrome浏览器禁用跨域功能
coinisi_li的博客
01-10 3353
一般我们的解决方法是设置代理,但有些情况比如外网地图不太好改允许跨域,此时可以chrome浏览器禁用跨域功能,这样就可以访问了。需求:在开发中,我们常常遇到:内网、外网不互通,异地等跨域问题。
Chrome跨域访问网络请求Cookies丢失的解决办法
专注成就非凡
10-16 2319
对于需要跨域访问(包括局域网下不同IP的访问)时,若不取消Chrome的强制限制,则会无法正常访问。若两个域名使用不同的权限认证时,保存在Cookie中的身份信息会丢失。
浏览器端CORS策略 + 缓存策略 导致的 跨域策略失效 问题
05-31
CORS跨域资源共享)是一种浏览器安全策略,用于限制跨域请求的访问。但是,浏览器缓存策略可以绕过CORS策略,导致跨域请求失效。 具体来说,如果服务器响应的资源设置了缓存,那么浏览器会将该资源缓存起来。当下次请求同一资源时,浏览器会直接从缓存中获取该资源,而不会再向服务器发送请求。但是,由于缓存是根据资源的 URL 来确定的,因此,即使该资源来自跨域的服务器,浏览器也会从缓存中获取该资源。这样,即使服务器设置了正确的 CORS 响应头,浏览器也不会发送跨域请求,而是直接从缓存中获取该资源,从而绕过了 CORS 策略。 为了解决这个问题,可以在服务器端设置响应头,使得浏览器不缓存跨域资源。具体来说,可以在响应头中设置 Cache-Control: no-cache 和 Expires: -1,这样浏览器就不会缓存跨域资源了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值