谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失

最新推荐文章于 2024-07-05 15:50:58 发布
最新推荐文章于 2024-07-05 15:50:58 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: windows linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ztnhnr/article/details/109383855
版权
本文详细介绍了Chrome80版本更新后,由于默认设置SameSite=Lax导致的第三方Cookie问题,以及CSRF攻击和SameSite属性的作用。在Chrome80中,未声明SameSite的Cookie将无法在跨站请求中发送,影响登录等操作。解决方案包括设置响应头关闭SameSite属性,并确保使用Secure标志。此外,还提供了浏览器禁用此功能的临时解决办法。
摘要由CSDN通过智能技术生成

    因为公司业务的需要,给第三方公司提供公司业务系统单点登录的页面,对方以IFrame的方式嵌套页面。访问页面,首先需要登录,提供的页面实现免登陆处理,并且将相关信息保存在Cookie中。

    最近有用户发现之前提供的页面不能正常登录,访问后跳转到登录页面,而且在输入用户名密码之后,仍然不能正常登录。刚开始以为是程序升级导致的问题,后来发现在Chrome浏览器会出现这个问题,其他浏览器如IE,firefox访问正常。最后一番排查,发现是Chrome浏览器升级到80版本后才有这个问题,在80前的版本中访问正常。

    原来,在Chrome 80版本中,Chrome会将没有声明SameSite值的cookie默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的cookie可以从外部访问,前提是通过安全连接(即HTTPS)访问

    什么是SameSite

    SameSite是Cookie中的一个属性,它用来标明这个 cookie 是个“同站 cookie”,“同站 cookie” 只能作为第一方cookie,不能作为第三方cookie,因此可以限制第三方Cookie,解决CSRF的问题。早在Chrome 51中就引入了这一属性,但是不会默认设置,所以相安无事。

    第三方Cookie:由当前a.com页面发起的请求的 URL 不一定也是 a.com 上的,可能有 b.com 的,也可能有 c.com 的。我们把发送给 a.com 上的请求叫做第一方请求(first-party request),发送给 b.com 和 c.com 等的请求叫做第三方请求(third-party request),第三方请求和第一方请求一样,都会带上各自域名下的 cookie,所以就有了第一方cookie(first-party cookie)和第三方cookie(third-party cookie)的区别。上面提到的 CSRF 攻击,就是利用了第三方 cookie可以携带发送的特点 。

    “同站cookie”不是根据同源策略判断,而是PSL(公共后缀列表),子域名可以访问父域名cookie,但父域名无法访问子域名cookie。

    SameSite总共有三个值:Strict、Lax、None。

    Strict

    Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

    这个规则过于严格,可能造成非常不好的用户体验。比如像本人当前遇到的现象,cookie带不过,等于一直没有登录状态,就会回到登录页。

    Lax

    Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Chrome 80之后默认设置为该值。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

    导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表:

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

    设置了Strict或Lax以后,基本就杜绝了CSRF攻击。当然,前提是用户浏览器支持 SameSite 属性。

    None

    浏览器会在同站请求、跨站请求下继续发送cookies,不区分大小写。网站可以选择显式关闭 SameSite 属性,将其设为 None ,同时必须设置 Secure 属性(表示Cookie 只能通过 HTTPS 协议发送,HTTP协议不会发送),否则无效。

    下面为无效响应头:

Set-Cookie: CookieName=CookieValue; SameSite=None

    下面为有效响应头:

Set-Cookie: CookieName=CookieValue; SameSite=None; Secure

    解决办法

    本人项目中,提供的页面采用单点登录,在验证登录重新跳转到新页面时存在跨域,即返回的登录信息在跳转时不会通过Cookie发送。解决方法如下:

    1. 浏览器显式关闭该功能(不推荐)

    在Chrome地址栏输入:chrome://flags/,找到 SameSite by default cookies 和 Cookies without SameSite must be secure 选项,将上面两项设置为 Disable

    1-200RQA106196.png

    2. 设置响应header,关闭SameSite属性(Cookie 只能通过 HTTPS 协议发送,推荐)

// php代码
header('Set-Cookie: cross-site-cookie=name; SameSite=None; Secure');
ztnhnr
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路...你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行 Header always edit Set-Cookie path=/ path=
版本chrome浏览器(80版本后)带来的跨域请求cookie丢失问题。
ZHY_ERIC的博客
03-21 327
版本chrome浏览器(80版本以后)带来的跨域请求cookie丢失问题 - 天马3798 - 博客园
chrome浏览器91版本SameSite by default cookies被移除后的解决方案,Chrome中跨域POST请求无法携带Cookie的解决方案
热门推荐
weixin_46146313的博客
06-08 4万+
背景 周一早上一打开电脑准备开发项目时候, 突然发现网站登录跳转有异常, 怎么都登录不上一直跳回登录页. 通过抓包排除了后端的原因后, 发现后端的set-cookie没有效果, 突然想起Chrome禁用第三方Cookies的计划, 打开Edge的更新记录发现已经自动更新到Chromium 91了. 因为开发环境需要, 我们把浏览器的same-site-by-default-cookies和cookies-without-same-site-must-be-secure两项都在flag里禁用了. 但是更新
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
最新发布
weixin_39459811的博客
07-05 256
将SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
关于chrome更新导致无法手动设置cookie
dragon_zjl的博客
02-14 1235
关于chrome更新导致无法手动设置cookie 因项目原因本地环境启动后需要手动设置cookie,早上打开电脑后发现设置cookie时出现了下面这种情况 在网上找到得方法大多都是搜索chrome://flags再搜索SameSite再去设置。。。 可是我搜索到的却是: 后来发现SameSite by default cookies在chrome91版本已经被移除了。 解决方法如下: 地址栏输入 chrome://flags/ ,搜索Partitioned cookies,然后将配置项改成Enabled
Chrome 91 本地跨域无法携带cookies问题解决
fhr9998的博客
06-01 6712
之前在80版本时就有这个问题 当时可以sehzih通过 chrome://flags/#same-site-by-default-cookies chrome://flags/#cookies-without-same-site-must-be-secure
版本chrome浏览器带来的跨域请求cookie丢失问题
Javamine的博客
03-30 1059
参考:https://www.jianshu.com/p/aa80ca97f877 解决办法: 谷歌浏览器里面:chrome://flags/ 把SameSite by default cookies这个参数设置成disabled
cross-request 3.1 YApi 跨域请求 谷歌浏览器
10-10
cross-request 3.1 YApi 跨域请求 谷歌浏览器
解决ajax跨域请求数据cookie丢失问题
10-24
本文主要是从前端jquery和服务端php为例,分别使用实例解决ajax跨域请求数据cookie丢失问题,推荐给有相同需求的小伙伴们。
Vue axios 跨域请求无法带上cookie的解决
10-14
在浏览器的安全策略中,跨域请求默认不携带cookie,这是为了防止跨站脚本攻击(Cross-Site Request Forgery, CSRF)。但如果我们确实需要在跨域请求中携带cookie,可以通过设置`withCredentials`属性来实现。 在Vue...
Allow-Control-Allow-Origin-2022-11-23 谷歌浏览器跨域组件
07-11
总结来说,这个压缩包中的内容是针对谷歌浏览器的跨域问题的解决方案,包括一个Chrome扩展和一份使用说明。这个扩展可能通过修改响应头来帮助开发者绕过同源策略的限制,实现跨域请求。在实际使用中,需要注意安全性...
chrome浏览器升级导致无法手动设置cookie,设置无法保存
segegefe的博客
03-03 1045
因为工作中在本地cookie中设置值,前几天还正常,今天突然就开始爆红并且无法保存 原因是谷歌浏览器升级到了98版本,移除了SameSite by default cookies 解决方案 在谷歌浏览器地址栏输入 chrome://flags/ ,搜索Partitioned cookies,然后将配置项改成Enabled,重启浏览器即可 ...
ThinkPHP跨域设置”samesite=none”和“secure”参数的方法和注意事项
wbryze的博客
03-29 3399
因开发插件需要,将另一个网站的数据通过AJAX添加到ThinkPHP制作 的一个网站上的购物车。 需要网站支持跨域请求同步COOKE,具体操作如下: /public/index.php 第二行添加以下代码: ACAO=′∗′;header("Access−Control−Allow−Credentials:true");//允许COOKIE共享header("XDomainRequestAllowed:1");//允许COOKIE共享IEif(!empty(ACAO = '*'; header("Acces
谷歌8.0新版iframe嵌套跨域请求cookie丢失问题
红尘炼炼心的博客
08-26 4646
谷歌8.0新版iframe嵌套跨域请求cookie丢失问题。 浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置80版本默认是关闭的,但在Chrome 80之后,该功能默认已开启。 不再支持iframe 携带cookie 访问第三方站点
Chrome SameSite策略导致cookie写入失败解决方案
Hui-1018的博客
06-04 2289
一 、问题描述: 你是否在加载第三方页面的时候遇到如下问题? 1、iframe无法加载链接,拷贝出iframe的src却可以在浏览器访问(chrome浏览器); 2、 iframe可以在 Firefox、IE 正常加载,但无法在 Edge 、chrome 加载; … 二、原因分析: 1、chrome80版本以后,更改了SameSite默认值, 80版本以前是None,80版本以后是Lax SameSite到底是什么? 是cookie的一个属性,用来限制第三方Cookie默认值有3种:St
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3562
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
Chrome浏览器跨域请求无法携带Cookie
m0_63588797的博客
03-09 1225
近期遇到一个问题,用Chrome浏览器在本地调试前端项目,跨域请求一直无法获取当前用户的登录态,接口返回用户未登录。通过排查发现无法携带Cookie进行请求,之后用其他浏览器尝试是可以成功的。这就表示问题出在我的Chrome浏览器上。猜测是和我的Chrome浏览器版本有关系。 解决方案 进入Chrome://flags/#same-site-by-default-cookies之后,把SameSite by default cookies设置为Disabled重启浏览器再运行项目即可。 当然还有其他方
关于 chrome 80 后出现的 SameSite 问题
baidu_33569474的博客
03-19 1万+
Google 发布的 Chrome 80 中,在所有的 Cookie默认设置 SameSite=Lax 来屏蔽所有的第三方 Cookie,详见 Cookies default to SameSite=Lax;并拒绝所有的非 Secure 的Cookie 设为 SameSite=None,详见 Reject insecure SameSite=None cookies 关于 SameSite 属...
谷歌浏览器跨域配置指南:新旧版本解决方案
"这篇文档主要介绍了如何在谷歌浏览器中进行跨域配置,涵盖了新旧两个版本的设置步骤,包括查看浏览器版本号的方法,以及对于49版本之前和之后的浏览器的具体配置过程。此外,还提供了针对94及95版本的特定解决策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值