新版本chrome浏览器带来的跨域请求cookie丢失问题

最新推荐文章于 2024-01-17 23:07:27 发布
原创 最新推荐文章于 2024-01-17 23:07:27 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#chrome

本文介绍了两种解决跨域问题的方法。首先是在谷歌浏览器中通过chrome://flags/禁用SameSite默认设置。其次,展示了在Spring Boot后端如何配置全局过滤器以允许所有源,并设置Cookie的SameSite属性为None,确保跨域请求的兼容性。

参考:https://www.jianshu.com/p/aa80ca97f877

解决办法一:
谷歌浏览器里面:
chrome://flags/
把SameSite by default cookies这个参数设置成disabled

解决办法二(后端代码配置):

参考:https://blog.youkuaiyun.com/sinat_36521655/article/details/104844667

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import java.util.ArrayList;
import java.util.List;

/**
 * @author 作者 : 
 * @date 创建时间:
 * @version 1.0
 * @since JDK1.8
 * @Description 实现全局过滤器
 */
@Configuration
public class CorsConfig {
	
	private CorsConfiguration addcorsConfig() {
	    CorsConfiguration corsConfiguration = new CorsConfiguration();
	    List<String> list = new ArrayList<String>();
	    list.add("*");
	    corsConfiguration.setAllowedOrigins(list);
	    corsConfiguration.setAllowCredentials(true);
	    /*
	    // 请求常用的三种配置,*代表允许所有,也可以自定义属性(比如header只能带什么,只能是post方式等等)
	    */
	    corsConfiguration.addAllowedOrigin("*"); 
	    corsConfiguration.addAllowedHeader("*"); 
	    corsConfiguration.addAllowedMethod("*"); 	    
	    return corsConfiguration;
	  }
	
	@Bean
	public CorsFilter corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", addcorsConfig());
		return new CorsFilter(source);
	}
	
	/**
	 * 重点就是这里
	 * @return
	 */
	@Bean
    public CookieSerializer httpSessionIdResolver() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        // 取消仅限同一站点设置
        cookieSerializer.setSameSite("None");
        cookieSerializer.setUseSecureCookie(true);
        return cookieSerializer;
    }
}

 

SpringMVC中的请求配置解决方案
AI天才研究院
08-05 1987
(Cross-origin resource sharing)是由一个资源从一个名访问另一个不同的名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同向当前发送HTTP请求请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止请求,所以开发者需要在实际项目中做一些额外的设置来允许请求。以下就详细介绍一下Spring MVC对请求的支持及其配置方法。
Chrome 浏览器 Cookie 共享与Chrome升级91版本问题
烫一壶女儿红
06-25 1963
Chrome 51版本后91版本前 Chrome 51 版本开始,浏览器Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite 可以设置三个值(Strict、Lax、None)。 详见阮一峰的CookieSameSite 属性 由此可见,在开发过程中运行本地项目调试接口,如果某些接口使用cookie作为校验,会涉及到cookie丢失问题。对于前端来说,调试项目时想要实现浏览器共享cookie,必须设置浏览器的实验属性。 在Chrome 地址
Chrome访问网络请求Cookies丢失的解决办法
专注成就非凡
10-16 3330
对于需要访问(包括局网下不同IP的访问)时,若不取消Chrome的强制限制,则会无法正常访问。若两个名使用不同的权限认证时,保存在Cookie中的身份信息会丢失
chrome浏览器91版本SameSite by default cookies被移除后的解决方案,ChromePOST请求无法携带Cookie的解决方案
weixin_46146313的博客
06-08 4万+
背景 周一早上一打开电脑准备开发项目时候, 突然发现网站登录跳转有异常, 怎么都登录不上一直跳回登录页. 通过抓包排除了后端的原因后, 发现后端的set-cookie没有效果, 突然想起Chrome禁用第三方Cookies的计划, 打开Edge的更新记录发现已经自动更新到Chromium 91了. 因为开发环境需要, 我们把浏览器的same-site-by-default-cookiescookies-without-same-site-must-be-secure两项都在flag里禁用了. 但是更新
chrome91 后 SameSite by default cookies 不对外开放 解决方案
会飞的程序猿
06-08 3700
window 下 在右击Chrome/Edge的快捷方式, 点击"属性". 在"目标(Target)"属性中末尾加上 --flag-switches-begin --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --flag-switches-end
cookies丢失名_chrome浏览器请求cookie丢失问题
weixin_39907131的博客
12-24 589
突然在某一天,我在登录成功后,在访问其他接口的时候出现306状态(这是我和后端统一标识用户未登录的状态,需要先登录),以前的项目中是用token来记录用户的身份的,现在用cookie然后在请求其他接口的时候这里的问题,就是在包括getUserInfo之后的接口中Request Header中都丢失cookie,当时一直以为是代码的问题,但是经过测试,除了http://localhost:8080...
新版chrome浏览器请求cookie丢失
【03】的博客
11-29 956
关于 chrome升级到80版本之后(最坑的地方:灰度测试,即也可能存在同一版本不同人的浏览器表现不同),cookieSameSite属性默认值由None变为Lax 在Lax模式下,以下类型请求将受影响: 请求类型 示例 正常模式 Lax模式 链接 <a href="…"> 发送 Cookie 发送 Cookie 预加载 <link rel=“prerender” href="…"/> 发送 Cookie 发送 Cookie GET 表单 <form
浏览器安全策略】Chrome 83+Cookie配置调整:SameSite默认策略禁用方案解决登录失效问题
10-24
内容概要:本文主要介绍了Chrome浏览器80版本以上在请求时因SameSite Cookie策略变更导致的登录失效问题,并提供了解决方案。由于Chrome默认启用了更严格的Cookie安全策略,导致部分前端应用在场景下无法...
谷歌浏览器新版本Chrome 80默认SameSite导致登录状态失效的问题
随风丶逆风的博客
03-13 4万+
大概新年新气象吧,大家复工之后都追求一个“新”,不少用户升级到了Chrome 80,然后发现登入成功之后总是重定向回统一登录页,然后头秃的我感觉头上更凉了。 定位问题 生产环境出了问题,肯定得赶紧寻问题根源啊。(三步走路子) 第一步,最先以为cookie失效的问题,于是远程用户,发现浏览器cookie设置正常,名下cookie也有值,但就是带不过去后台,于是开始怀疑出了问题。 第二步,遂...
解决新版本chrome浏览器请求cookie丢失问题
如切如磋,如琢如磨
03-31 1994
  之前部署很久的项目最近冒出来重定向后丢失cookie问题,之前网上的解决方案大都是在前后端设置属性的方式,一般细心点也不会出现这样的问题,查过资料后发现chrome升级到80版本之后cookieSameSite属性默认值由None变为Lax: 解决方案: 谷歌浏览器里面:chrome://flags/ 把SameSite by default cookies这个参数设置成disabled 设置 Set-Cookie: widget_session=abc123; SameSite=None
解决Chrome请求Cookie丢失
lwy92的博客
08-25 756
注: 被嵌套页面必须是https 1.spring boot 解决方案 @Bean public CookieSerializer cookieSerializer(){ DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSerializer.setUseSecureCookie(true); cookieSerializer.setSameS
iframe之cookie丢失
asdfghkhh的博客
06-13 2755
利用iframe引入另外一台服务器的页面时,当引入登陆页时,登陆会导致token存储失败,可以利用localstorage去存储解决掉
解决新版谷歌chrome浏览器cookiecookie失效问题
mawei7510的博客
05-10 7191
解决新版谷歌chrome浏览器cookiecookie失效问题 最近笔者在本地调试时,发现死活也无法登陆,然后查看network,发现请求cookie后面有一个黄色感叹号,给的提示,是无法设置cookie,当时就懵了,然后多方百度到解决方法, 在这里插入图片描述 鼠标放到感叹号上给的提示 this Set-Cookie didn,t specify…具体看图 在这里插入图片描述 cookie失效原因 原因有兴趣的可以了解,执行下下面设置即可 chrome://flags/#same-site-
谷歌8.0新版iframe嵌套请求cookie丢失问题
红尘炼炼心的博客
08-26 5085
谷歌8.0新版iframe嵌套请求cookie丢失问题浏览器Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置80版本默认是关闭的,但在Chrome 80之后,该功能默认已开启。 不再支持iframe 携带cookie 访问第三方站点
谷歌浏览器丢失Cookie问题
YangzaiLeHeHe的博客
10-23 5072
文章目录谷歌浏览器丢失Cookie问题一、问题背景交代二、分析2.1、整体调用链路2.2、复现2.3、分析三、原因四、解决4.1、治标4.2、治本 谷歌浏览器丢失Cookie问题 一、问题背景交代 公司内部系统A页面内嵌系统B的界面。当在A系统的界面中点击B系统图标跳转时此时,导致跳转后的界面空白,A系统会向B系统发送一些请求参数,而B系统没有拿到这些参数,导致重定向后的界面空白。 二、分析 2.1、整体调用链路 2.2、复现 这个问题Chrome浏览器【我本地的】100%复现,后来切换到了
iframe嵌入第三方链接页面不展示、cookie丢失问题总结
热门推荐
dong__xue的博客
08-23 4万+
需求是这样的:有一个第三方开发的系统的页面需要嵌入到我们的项目中,对方提供了一个地址:http://ip:port/path?name=xxx&pw=xxx。 当我们想使用iframe来展示这个地址的时候,出现以下现象和错误: 并且控制台报错: Refused to frame 'http://10.65.78.23:30002/' because an ancestor violates the following Content Security Policy directive: "
cookies丢失名_cookie在多名下的解决办法
weixin_34672875的博客
01-26 692
项目背景用户登录成功后,服务端生成token,并保存在cookie里。http的cookie机制解决了http请求的无状态,短连接的特性,前端后续的请求都不需要传token或密码,就可以实现权限的认证。但是方便的同时,和同源的问题随之而来。不是同源,cookie是不能读写的。(这里的同源是指相同的协议,主机,端口;只要其中任何一项不相等,就不是同源。)(三级名abc.xx.com 与 二级...
页面嵌入iframe Cookie丢失问题解决
花开的博客
01-17 4711
自身页面以iframe的形式嵌入三方页面中,双方名不一致导致自身页面的cookie被某些浏览器拦截无法正常被保存到客户端。
chrome flags如何设置才能避免问题
最新发布
11-21
<think> 我们正在处理一个关于通过设置Chrome flags来解决问题的查询。根据用户提供的引用内容,特别是引用[1]和引用[4],我们可以总结出以下步骤: 1. **问题背景**:新版本Chrome浏览器(特别是80版本以后)增加了安全限制,阻止非安全上下文(如HTTP)向私有网络地址(如本地IP或内网IP)发起请求,导致CORS错误。 2. **解决方案**:通过修改Chrome的flags设置,禁用“Block insecure private network requests”选项。 具体步骤如下: - **步骤1**:在Chrome浏览器的地址栏中输入 `chrome://flags/` 并访问。 - **步骤2**:在搜索框(Search flags)中输入 `Block insecure private network requests`。 - **步骤3**:将默认的Default选项改为Disabled。 - **步骤4**:点击右下角出现的“Relaunch”按钮,重启浏览器。 这样设置后,浏览器将不再阻止非安全上下文向私有地址空间的请求问题可能会得到解决。 **注意**: - 这种方法仅适用于开发环境,因为禁用此安全策略会降低浏览器的安全性。在生产环境中,应使用HTTPS和正确的CORS配置。 - 如果问题仍然存在,请检查服务器端的CORS配置(如`Access-Control-Allow-Origin`等响应头)。 根据引用[3],新版本ChromeCookieSameSite属性默认设置为Lax,这可能导致请求Cookie丢失。如果问题涉及Cookie,可尝试在服务器端设置CookieSameSite属性为None并同时设置Secure(即仅通过HTTPS发送)。 **生成相关问题**: 1. 如何在生产环境中正确配置CORS以避免问题? 2. Chrome浏览器其他哪些flags设置可能影响请求? 3. 如何为内网服务配置HTTPS以解决问题? </think>### 通过设置Chrome Flags解决问题的方法 当遇到请求Chrome浏览器阻止时(特别是访问私有网络资源时),可通过修改Chrome实验性功能设置解决: #### 操作步骤: 1. **打开Chrome Flags页面** 在浏览器地址栏输入: ```url chrome://flags/ ``` 2. **搜索相关设置** 在搜索框输入关键参数: ``` Block insecure private network requests ``` 3. **修改设置值** 将默认值 **`Default`** 改为 **`Disabled`** ![设置修改示意图](https://example.com/chrome-flags.png) 4. **重启浏览器** 点击右下角出现的 **`Relaunch`** 按钮使设置生效 #### 注意事项: 1. **安全性警告** 此操作会降低浏览器安全级别,仅建议在开发环境使用[^1] - 生产环境应配置HTTPS和正确CORS头部 - 禁用此功能后,浏览器不再检查`local`地址空间的请求安全 2. **其他相关设置** 如需处理Cookie问题,可同时修改: ```url chrome://flags/#same-site-by-default-cookies ``` 设置为 **`Disabled`** 解决Cookie丢失问题[^3] 3. **浏览器版本要求** 此设置适用于Chrome 80+版本,主要解决错误提示: > "The request client is not a secure context and the resource is in more-private address space `local`" #### 备选方案: 当flags设置无效时,可尝试: 1. 启动Chrome时添加参数: ```bash chrome.exe --disable-web-security --user-data-dir=/tmp/chrome ``` 2. 对于DICOMweb等专业服务,配置服务器端CORS头部: ```nginx add_header 'Access-Control-Allow-Origin' 'http://11.21.1.120:8225'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; ``` > **重要提示**:此方法仅为临时解决方案,正式环境应通过配置HTTPS和服务器端CORS策略解决根本问题[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值