解决新版谷歌Chrome浏览器Cookie跨域失效问题

最新推荐文章于 2025-05-29 09:26:36 发布
最新推荐文章于 2025-05-29 09:26:36 发布
阅读量7.3k 收藏 15
点赞数
CC 4.0 BY-SA版权
分类专栏: JAVA 文章标签: chrome 跨域 Cookie Cookie跨域失效 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhiwenganyong/article/details/125452831

        谷歌 Chrome80 在 2020年2月4号发布的版本(schedule)会逐渐屏蔽第三方Cookie,即默认为所有Cookie加上SameSite=Lax属性(Cookies default to SameSite=Lax),并且拒绝为不安全的Cookie设置SameSite=None属性(Reject insecure SameSite=None cookies),这样是为了从源头屏蔽跨站请求伪造CSRF(Cross Site Request Forgery)漏洞。

解决方法

        方法一

                通过部署第三方代理(例如nginx等)指定SameSite属性来解决跨域问题(前提:需要部署https)

修改nginx配置文件

server {
    listen 443 ssl;
    # 证书公钥文件路径
    ssl_certificate /xxx/xxx.pem;
    # 证书私钥文件路径
    ssl_certificate_key  /xxx/xxx.key;
    location / {
        proxy_pass http://127.0.0.1:8080/;
        proxy_redirect default;
        proxy_cookie_path / "/; secure; SameSite=None";
        client_max_body_size  1000M;
    }
    ......
}

        方法二

                异构系统通过反向代理,配置成同域(URL的协议、域名和端口相同),然后通过nginx代理访问各系统

nginx配置如下:

#user  root root;
worker_processes  1
events {
    worker_connections  1024;
}
http {
    include  mime.types;
    default_type application/octet-stream;
    sendfile  on;
    keepalive_timeout 65;
    server {
        listen       80;
        server_name  localhost 192.168.1.3;
        location /a/  {
            proxy_pass         http://192.168.1.1;
            proxy_set_header   Host             $host:$server_port;
            proxy_set_header   X-Real-IP        $remote_addr;
            proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
            client_max_body_size 100m;
            client_body_buffer_size 128k;
            proxy_connect_timeout 90;
            proxy_send_timeout 300;
            proxy_read_timeout 300;
            proxy_buffer_size 4k;
            proxy_buffers 4 32k;
            proxy_busy_buffers_size 64k;
            proxy_temp_file_write_size 64k;
        }
        location /b/  {
            proxy_pass         http://192.168.1.2;
            proxy_set_header   Host             $host:$server_port;
            proxy_set_header   X-Real-IP        $remote_addr;
            proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
            client_max_body_size 100m;
            client_body_buffer_size 128k;
            proxy_connect_timeout 90;
            proxy_send_timeout 300;
            proxy_read_timeout 300;
            proxy_buffer_size 4k;
            proxy_buffers 4 32k;
            proxy_busy_buffers_size 64k;
            proxy_temp_file_write_size 64k;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
        root   /usr/share/nginx/html;
    }
    }
}

        方法三

                 对于http的系统,修改chrome安全策略

1、打开chrome,输入

chrome://flags/

2、搜索

SameSite by default cookies

找到如下两项,并都设置为 Disable

SameSite by default cookies
Cookies without SameSite must be secure

注意: Chrome 91 版本(2021年5月26日)更新后,默认已移除以下配置项,无法再通过此方案解决

前后端分离部署情况下,cookie失效问题chrome浏览器SameSite问题
z974251478的博客
04-20 3112
项目基于前后端分离部署,其中会涉及及会话问题,项目对使用cors解决,对会话不一致问题使用了redis解决。这次遇到的问题是基于chrome浏览器SameSite出现的cookie失效
Chrome访问网络请求Cookies丢失的解决办法
专注成就非凡
10-16 3088
对于需要访问(包括局网下不同IP的访问)时,若不取消Chrome的强制限制,则会无法正常访问。若两个名使用不同的权限认证时,保存在Cookie中的身份信息会丢失。
chrome浏览器cookie失效
jean850218的博客
03-08 1万+
最近碰到了一奇葩bug,记录一下: 点击在新的标签页弹出新路由,cookie会更新,每请求一次cookie自动更新一次,在FF和IE中请求是正常的,可以正确拿到数据。 但是在chrome中请求,报cookie失效。 复现步骤如下: 1、在本地启动服务,打开chrome浏览器,点击打开新标签页,多次请求正常。 2、刷新当前页,再次发送第三次请求(第一次获取正常的,第二次改变了,第三次拿到的co...
谷歌浏览器 设置
CMDN123456的博客
05-29 934
记录-谷歌浏览器 设置
Chrome浏览器携带Cookie无效
超频化石鱼的博客
01-18 1844
问题 请求中使用了Session。结果在Chrome浏览器中无效,而在其他浏览器中正常。 这是因为chrome浏览器80以上版本为了防止CSRF攻击而新增了SameSite规则,且默认为打开。 该设置会影响所有涉及到Cookie相关的操作,例如Session。 要想携带Cookie,必须将SameSite设置为禁用。 解决chrome的地址栏输入:chrome://flags/。 在搜索栏输入:SameSite。 将搜索到的SameSite by default cookies这一项由Default更
前端 nginx 配置 解决 chrome 问题
yangqii的博客
10-05 1859
前端 nginx 配置 解决 chrome 问题
谷歌携带Cookies失效问题
qq_34703156的博客
06-08 302
1 设置chrome://flags/ SameSite by default cookies 设置成 disable 2 注意 浏览器版本号 。 最新版本 9.XXX几的版本 找不到此参数 建议用8.XXX的版本
iframe与session失效问题解决办法
01-21
何为session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
谷歌浏览器丢失Cookie问题
YangzaiLeHeHe的博客
10-23 4956
文章目录谷歌浏览器丢失Cookie问题一、问题背景交代二、分析2.1、整体调用链路2.2、复现2.3、分析三、原因四、解决4.1、治标4.2、治本 谷歌浏览器丢失Cookie问题 一、问题背景交代 公司内部系统A页面内嵌系统B的界面。当在A系统的界面中点击B系统图标跳转时此时,导致跳转后的界面空白,A系统会向B系统发送一些请求参数,而B系统没有拿到这些参数,导致重定向后的界面空白。 二、分析 2.1、整体调用链路 2.2、复现 这个问题Chrome浏览器【我本地的】100%复现,后来切换到了
【ASP.NET编程知识】iframe与session失效问题解决办法.docx
05-20
ASP.NET 与 Session 失效问题解决办法 在 ASP.NET 开发中,和 Session 失效问题是一个常见的问题,特别是在使用 iframe 嵌入远程应用时。今天,我们来讨论这个问题解决办法。 什么是和 Session ...
chrome更新到80以上版本后,带来的请求cookie丢失问题
qq_26094091的博客
06-03 4067
chrome更新到80以上版本后,带来的请求cookie丢失问题 cookie的SameSite属性默认值由None变为Lax 此时可以尝试显式声明 Cookie 的SameSite属性为None,并设置Secure (不然无效)。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 更多参考:谷歌浏览器 Cookie 的 SameSite 属性 (转) 它可以设置三个值。 Strict Lax None None Chrome 计划将Lax变为默认设置(80版本已实施
Chrome浏览器设置
m0_60635609的博客
04-11 4791
1.下载并安装好chorme浏览器后在桌面找到浏览器快捷图标并点击鼠标右键的属性一栏。2.在属性页面中的目标输入框里加上如下图所示:3.点击应用和确定后关闭属性页面,。如果浏览器出现提示“你使用的是不受支持的命令标记“ --disable-web-security”,那么说明配置成功。版本号49之后的Chrome设置chrome的版本升到49之后,设置比以前严格了,在打开命令上加 --disable-web-security 之后还需要给出新的用户个人信息的目录。
chrome浏览器无法携带cookie问题解决
lixiaonaaa的博客
06-22 6566
由于项目需要,不能在后台配置解决,所以只能在浏览器上下手,着实折磨了我好一阵子。 1. 问题描述 平台跳转其他平台页面,并自动登录 浏览器chrome 2. 解决方法 2.1 经查阅资料, chrome浏览器拦截,即sameSite。不同下无法携带cookie解决方法为在谷歌浏览器地址栏中输入chrome://flags/,将关于sameSite的属性设置为disabled,重启浏览器即可。这是针对80版本以上的chrome浏览器。 2.2...
新版谷歌浏览器CROS问题
超梦梦梦梦的博客
05-21 1497
搜索Block insecure private network requests,将其设置为Disabled。关闭谷歌浏览器重新打开网页。
chrome浏览器Cookie的SameSite问题导致访问iframe内嵌页面异常
热门推荐
CoreyJu的博客
09-16 6万+
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute问题还原原因分析可能在 Chrome 80 中受到影响的场景如下解决方案 问题还原 原先一直访问正常的系统,最近打开页面一直加载不出来。 初步分析,该系统为iframe内嵌第三方系统页面,将iframe中的链接复制出来可以单独访问,排除第三方系统的问题。 进一步尝试,将这个带有链接的iframe放在一个全新的html文件
Chrome浏览器cookie问题
p763833631的博客
04-13 3549
原因 chorme header 头的 cookie 里有一个黄色的小叹号, 提示 This set-cookie didn't specify a 'SameSite' attribute and was defaulted to 'SameSite=lax' and broke the same rules specified in the SameSitelax value,samesitechrome 为了限制第三方 cookie 问题而加的功能,对于 chrome 80 后的版本,..
Chrome浏览器无法保存cookie问题解决
夕降巫咸的博客
07-20 4421
之前使用vue启动本地项目联调时,其他小伙伴访问我本地链接由于chrome不保存cookie导致调试无法进行,所以记录下解决方案。 第一步:在chrome地址栏输入 chrome://flags/ 第二步:搜索 same-site 第三步:将前两项禁用,关闭浏览器重新打开,问题解决。 ...
chrome禁止三方cookie,网站登录不了怎么办
dotNET跨平台
09-26 1528
背景新版chrome(80+)浏览器默认屏蔽所有三方cookie已经不是什么新闻了,具体原因这里不去深究,有大量相关文章介绍,由于目前许多网站都依赖三方cookie,因此该特性的推出还是...
Chrome调试时站不能设置cookie问题
Mr_TianChen的博客
08-12 3796
一直使用IIS配置开发前端页面,连接的后台服务,今天开机打开登录发现登陆不成功, 查看请求时发现登陆请求设置的set-cookie path后还跟这一个感叹号, 登陆成功调用其它接口时发现请求没有cookie了, 然后就一通查询啊,发现CHROME 80版本以后,SAMESITE COOKIE验证问题, this set-cookie didn't specify a "SameSite" attribute,然后变成默认Lax。 为了调试的时候会方便点。找了一下怎么关闭chrome的这个选项
chrome flags解决问题
最新发布
06-03
<think>嗯,用户想通过ChromeFlags配置来解决问题。之前已经给了几种方法,现在用户特别关注Flags的设置。我需要先回顾一下用户提供的引用内容,看看他们提到的相关解决方案。引用[1]、[2]、[3]、[4]、[5]都提到了关于SameSite和Blockinsecure privatenetwork requests的设置。特别是引用[2]和[5]提到在chrome://flags里调整SameSite设置,而引用[3]和[4]则提到了关闭Block insecureprivate networkrequests。不过引用[5]也提到SameSite bydefault cookies在Chrome91版本后被移除了,所以可能需要不同的方法。用户现在的问题是明确要通过ChromeFlags解决,所以需要详细说明步骤。首先,需要指导用户如何访问chrome://flags页面,然后找到相关设置。根据引用,主要有两个Flag需要调整:SameSite和Block insecureprivate networkrequests。SameSite的设置可能已经被移除,但用户可能还在旧版本,所以需要说明步骤。同时,Blockinsecure privatenetwork requests在较新版本中可能还存在,但未来可能失效。需要提醒用户这些方法可能只在特定版本有效,并且强调这些设置的安全风险,仅适用于开发环境。 此外,用户之前的问题提到了携带Cookie问题,引用[2]提到禁用SameSite可以解决无法携带Cookie问题。所以需要将这部分整合到回答中,说明如何通过Flags允许携带Cookie。另外,用户可能遇到的问题包括路径不存在,如引用[1]提到的需要创建用户数据目录。但用户现在的问题是关于Flags,可能不需要这部分,但需要确认。最后,需要生成相关问题,可能涉及这些Flag的未来替代方案、安全性考虑,或者与其他方法的比较。需要确保引用标注正确,比如SameSite设置参考引用[2],Blockinsecure参考引用[3][4]。总结回答结构:分步骤说明如何设置Flags,每个步骤的注意事项,版本兼容性警告,安全提示,并附上相关问题。</think>### 通过Chrome Flags配置解决问题的步骤 #### 1. 调整SameSite设置(针对携带Cookie问题) 1. **访问Flags页面**:在Chrome地址栏输入`chrome://flags` 2. **搜索SameSite**:在搜索框输入`SameSite`,找到`SameSite by default cookies`和`Cookies without SameSite must be secure` 3. **修改配置**: - 将`SameSite by default cookies`设为`Disabled` - 将`Cookies without SameSite must be secure`设为`Disabled` 4. **重启浏览器**:点击右下角`Relaunch`按钮生效[^2] #### 2. 关闭私有网络请求拦截(针对本地开发) 1. **访问Flags页面**:输入`chrome://flags` 2. **搜索Block insecure private network requests**:找到该选项 3. **设为Disabled**:选择`Disabled`并重启浏览器[^3][^4] #### 3. 其他相关Flags(可选) - **CORS策略覆盖**:搜索`out-of-blink-cors`并启用(实验性功能) - **禁用Web安全策略**:搜索`disable-web-security`(需配合启动参数,不推荐通过Flags直接修改) ```bash # 补充说明:若需完全禁用安全策略,仍需通过命令行启动(如开发环境) open -a "Google Chrome" --args --disable-web-security --user-data-dir=/tmp/chrome-dev ``` ### 注意事项 1. **版本兼容性**: - `SameSite`设置从Chrome 91开始逐渐失效[^5] - `Block insecure private network requests`可能在Chrome 101后无法禁用[^3] 2. **安全性风险**: - 禁用安全策略会暴露XSS/CSRF攻击风险,仅限开发环境使用[^1] 3. **临时性解决方案**: - 建议优先通过服务端CORS配置或代理解决问题[^5]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

像向日葵一样~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值