完美解决Chrome Cookie SameSite跨站限制

最新推荐文章于 2024-01-01 08:30:00 发布
原创 最新推荐文章于 2024-01-01 08:30:00 发布 · 7.7k 阅读 · 40 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#chrome #前端 #https

本文介绍了在前后端分离环境下,由于Chrome的Cookie SameSite限制导致的跨站鉴权问题。Cookie SameSite属性自Chrome 51版引入,用于防范CSRF攻击。针对不同版本的Chrome,文章提供了关闭或绕过限制的方法,包括设置浏览器标志、命令行启动参数和使用Chrome插件。最后建议长期解决方案是采用https和设置SameSite=None,或确保前后端地址在同一站点。

问题背景

在前后端分离的大趋势下,如果没有额外的配置部署方案,前端地址和后台API地址是不一样的。比如在本地开发调试阶段,前端地址为http://localhost:3000,后台API地址为http://api.server.com/api/list

那么地址不一样会有什么问题呢?

如果你请求的后台API需要携带Cookie进行鉴权,那么在这种地址不一样的情况下,会因为浏览器的Cookie SameSite的跨站限制,导致Cookie不会被正确传递,进而导致请求API接口总是报错没有认证或者权限不足。

什么是Cookie SameSite

2016年开始,Chrome 51版本对Cookie新增了一个SameSite属性,用来防止CSRF攻击。

简单来说,在新版本的浏览器上,如果前端地址和请求的API地址的domain不一样的话,则会限制携带Cookie。

具体什么是CSRF攻击,跨站与跨域的区别,可以参见我另外的文章。

在Chrome上如何解决Cookie SameSite限制

如果想从原理上解决

1. 如果有nginx等反向代理工具,则可以通过配置将前端地址与API接口地址设置为同站即可解决(如果是本地开发,可以将一个与API同domain的host映射到本地调试地址,然后使用这个host进行调试开发即可)

2. 如果API接口是https的,也可以让API接口开发的同事将Cookie的SameSite设置为None即可取消同站限制。

但本文主要讲一下如何只利用Chrome解决Cookie SameSite限制。

Chrome 91版本之前

2016年开始,Chrome从51版本之后添加了Cookie SameSite属性,但可以直接通过浏览器可视化配置解除限制。

直接访问chrome://flags/,找到SameSite by default cookies选项,将其设置为禁用(Disabled),重启Chrome即可。

Chrome 91~93版本

2021年5月,官方出于安全考虑,从91版本开始取消了可视化关闭的方式,但是还可以通过命令行启动的方式进行关闭。

Windows

右键单击Chrome快捷方式,打开属性,在目标后添加–disable-features=SameSiteByDefaultCookies,点击确定,重启Chrome即可。

Chrome和Edge均可,如图。


Mac

Mac系统下可以通过命令行打开Chrome的方式来进行关闭。

  • 注意前提须关闭浏览器。
开启Chrome命令:
open -a "Google Chrome" --args --disable-features=SameSiteByDefaultCookies

开启Chromium版Edge浏览器命令:
open -a "Microsoft Edge" --args --disable-features=SameSiteByDefaultCookies

Chrome 94版本及以上

2021年9月,已经彻底移除可视化禁用和命令行禁用的方式,详见官方的SameSite Updates

但是Chrome浏览器插件不受跨站跨域的限制,所以对于本地调试的场景,可以通过安装相关cookie透传的插件来解决。

如果需要解决所有用户的这个问题,则需要使用正规的方式解决:前后端地址不跨站,或者使用https+SameSite=None

插件下载地址

安装方式

  1. 打开扩展程序chrome://extensions/
  2. 将下载的zip插件拖拽进去

完成。

Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.youkuaiyun.com/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
nodejs实现单点登录系统
没事学点AI小知识
05-21 3244
单点登录SSO(Single Sign On),就是把2个及以上的业务系统中的登录功能剥离出来,形成一个新的系统,做到一次登录后在任意的业务系统中都无需登录的效果。 效果如图所示: 第一次访问www.a.com首页 跳转到www.c.com:3000登录页面,登录成功后跳转www.a.com首页 再次访问www.a.com首页,无需登录直接跳转 访问www.b.com首页,无需登录直接跳转 源码: https://github.com/wantao666/sso-nodejs 详细设计: 文章目.
新版chrome跨域问题:cookieSameSite属性
cnq2328的专栏
03-27 3万+
新版chrome跨域问题:cookieSameSite属性 原创dominx 最后发布于2020-03-16 16:00:02 阅读数 299 收藏 展开 最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时...
chrome浏览器91版本SameSite by default cookies被移除后的解决方案,Chrome中跨域POST请求无法携带Cookie解决方案
weixin_46146313的博客
06-08 4万+
背景 周一早上一打开电脑准备开发项目时候, 突然发现网站登录跳转有异常, 怎么都登录不上一直跳回登录页. 通过抓包排除了后端的原因后, 发现后端的set-cookie没有效果, 突然想起Chrome禁用第三方Cookies的计划, 打开Edge的更新记录发现已经自动更新到Chromium 91了. 因为开发环境需要, 我们把浏览器的same-site-by-default-cookiescookies-without-same-site-must-be-secure两项都在flag里禁用了. 但是更新
Chrome跨域访问网络请求Cookies丢失的解决办法
专注成就非凡
10-16 3369
对于需要跨域访问(包括局域网下不同IP的访问)时,若不取消Chrome的强制限制,则会无法正常访问。若两个域名使用不同的权限认证时,保存在Cookie中的身份信息会丢失。
开发Chrome插件获取当前页面Cookie
eck_燃的博客
01-01 6488
开发Chrome插件获取当前页面Cookie 《重来》提到,把自己的需求做成产品,给更多人提供价值
解决新版chrome浏览器SameSite属性cookie拦截问题
carry_chenxiaodong的博客
03-02 1万+
问题现象: 最近升级了新版chrome浏览器后,发现系统正常iframe嵌套其他域名网站页面突然无法显示了,页面空白,但是请求未报错。 原因还原: 1、将嵌套页面的url单独窗口访问,一切正常(页面显示正常,页面请求正常获取cookie信息),排除iframe页面问题。 2、进一步尝试,将这个带有链接的iframe放在一个全新的html文件中也不能正常访问,排除当前系统的iframe加载问题。 3、刚刚新建的html文件在火狐浏览器中打开可以正常访问。 4、新版chrome浏览器访问...
chrome浏览器91版本SameSite by default cookies被移除后的解决方案 后端的set-cookie没有效果
qq_576165539的博客
03-21 3280
Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies,和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。window,91版本及以上的Chrome浏览器:(方案1中的设置在91版本后已被Chorme移除)Windows:打开Chrome快捷方式的属性,在 目标 后添加。
CORS认证难题解决了!JWT与跨域资源共享的完美结合
跨源资源共享(Cross-Origin Resource Sharing,CORS)是一种安全机制,允许一个域(源)的网页访问另一个域的资源。它通过在HTTP头部中添加额外信息,来控制哪些域可以访问资源。 ## 1.2 CORS的挑战 虽然CORS机制...
Node.js封装库实现Web Storage与Cookie支持
确保Cookie的安全性:为Cookie设置Secure标志和SameSite属性可以有效防止跨站请求伪造(CSRF)攻击。 b. 提供对加密和解密Cookie的支持,保护存储在Cookie中的敏感信息。 c. 自动管理Cookie的生命周期,包括过期...
使用浏览器作为代理从公网攻击内网
neal1991的专栏
04-15 2186
介绍在Forcepoint,我们不断寻求改善我们产品所提供的防护。为此,我们经常研究不寻常或潜在新颖的攻击技术。最近的一个研究课题是从公网发起的针对localhost...
chrome浏览器解决跨域请求SameSite方案(cookie没有传)
qq_34231078的博客
06-08 1417
1、在chrome浏览器地址栏输入chrome://flags并回车 2、在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 3、点击右下键ReLaunch重启浏览器即可
Chrome SameSite策略导致cookie写入失败解决方案
Hui-1018的博客
06-04 3162
一 、问题描述: 你是否在加载第三方页面的时候遇到如下问题? 1、iframe无法加载链接,拷贝出iframe的src却可以在浏览器访问(chrome浏览器); 2、 iframe可以在 Firefox、IE 正常加载,但无法在 Edge 、chrome 加载; … 二、原因分析: 1、chrome在80版本以后,更改了SameSite的默认值, 80版本以前是None,80版本以后是Lax SameSite到底是什么? 是cookie的一个属性,用来限制第三方Cookie。默认值有3种:St
浏览器要求禁用 SameSite by default cookies
ysqwy1的博客
06-15 4941
某些网站要求设置 SameSite 中的 default 改为 disabled 然而进了浏览器的 flag页面发现并没有SameSite by default cookies
前后端分离Cookie sameSite坑 跨域之坑
热门推荐
qq_37060233的博客
01-22 5万+
在前后端分离解决跨域问题过程中,利用CORS解决跨域问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,中间反反复复,最后要放弃的时候无意中看到一个大神的博客。 SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnb...
关闭谷歌浏览器的SameSite
lu1994520的博客
11-25 5264
关闭谷歌浏览器的SameSite 1.网址栏输入chrome://flags/ 2.搜索SameSite by default cookies 3.将其设置为disabled
谷歌浏览器设置禁用samesite,IE浏览器设置禁用samesite
qq_36659553的博客
10-14 5353
谷歌: 1.谷歌浏览器打开chrome://flags/ 2.搜索samesite 3.SameSiteby default cookies项设置为Disabled即可 IE: 1.打开ie设置——Internet选项 2.隐私——接受所有的Cookies(滚动条到最下方即可)
chrome浏览器92版本SameSite by default cookies被移除后的解决方案,Chrome中跨域请求无法携带Cookie解决方案
树上骑个猴的博客
08-02 1万+
低于91版本的Chrome浏览器: Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies,和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。 2. window,91版本及以上的Chrome浏览器:(方案1中的设置在91版本后已被Chorme移除) Windows:打开C
如何解决Chrome浏览器强制SameSite=Lax的问题?
最新发布
04-26
<think>嗯,用户的问题是想要解决Chrome浏览器强制设置SameSite=Lax的问题。我需要先理解SameSite属性的作用以及为什么Chrome默认设置为Lax会导致问题。SameSite是用于控制Cookie跨站请求中是否发送的属性,有三个值:Strict、Lax和None。默认设置为Lax的话,某些跨站请求的Cookie不会被发送,比如POST请求跨站的情况,这可能会导致用户登录状态无法维持等问题。 根据用户提供的引用,特别是引用[1]提到Chrome在2020年2月更改了默认行为,需要显式设置SameSite=None和Secure标志。但Safari对此可能有兼容性问题。引用[2]提到临时解决方案是禁用SameSite默认设置,通过chrome://flags里的设置。不过这可能不适用于所有版本,尤其是较新的Chrome版本可能移除了这个选项。引用[4]给出了通过Chrome扩展修改请求头的方法,添加拦截器来设置Cookie。引用[5]关于缓存的知识可能不直接相关,但需要考虑缓存可能影响测试结果。 用户的需求是解决强制SameSite=Lax的问题,可能的场景是开发或测试环境中需要跨站携带Cookie,比如本地开发时的不同端口或域名,或者第三方服务集成。解决方案需要覆盖不同情况,包括临时本地调整、服务器端设置和浏览器配置。 首先,需要检查服务器是否正确设置SameSite=None和Secure。因为如果Cookie未正确配置,即使浏览器允许,也不会发送。然后,对于本地测试,可以暂时禁用SameSite限制,但Chrome的高版本可能不再支持flag设置,所以需要确认用户的具体版本。如果无法通过flags调整,可能需要使用扩展程序来修改请求头,如引用[4]中的方法。此外,跨域请求还需要CORS配置,如Access-Control-Allow-Origin等头信息,避免其他问题。 另外,需要考虑Secure标志,即Cookie必须通过HTTPS传输,本地开发可能需要配置SSL。如果用户是在生产环境,可能需要确保所有Cookie都正确设置SameSite=None和Secure,并且服务端支持HTTPS。对于旧版浏览器或Safari,可能需要额外的处理,因为某些版本可能不兼容SameSite=None。 总结解决方案步骤:1. 服务器端正确设置Cookie属性;2. 本地浏览器调整flags或使用扩展;3. 确保HTTPS和CORS配置正确。此外,需要提醒用户这些方法适用于不同环境,生产环境中应优先服务器端配置,而开发和测试可能需要临时调整浏览器设置。</think>### 分步解决方案:Chrome 浏览器 SameSite=Lax 强制问题 #### 1. **理解问题背景** Chrome 默认将 Cookie 的 `SameSite` 属性设置为 `Lax`,限制跨站点请求携带 Cookie 的权限,导致部分场景(如跨域 POST 请求、第三方服务嵌入)无法正常传递 Cookie[^1]。例如: - 跨域登录状态失效 - 第三方支付/登录插件异常 - 本地开发环境(不同端口或域名)接口请求失败 --- #### 2. **服务器端解决方案** **核心逻辑**:通过服务端显式声明 Cookie 的 `SameSite=None` 和 `Secure` 属性。 **步骤**: 1. **修改 Cookie 响应头** 在服务器返回的 `Set-Cookie` 头中添加以下参数: ```http Set-Cookie: session_id=abc123; SameSite=None; Secure ``` - `Secure` 要求 Cookie 必须通过 HTTPS 传输 - `SameSite=None` 允许跨站请求携带 Cookie 2. **验证 HTTPS 配置** 确保网站已启用 HTTPS(本地开发可通过自签名证书实现)。 --- #### 3. **客户端临时调整方案** **场景**:本地开发测试或无法修改服务端配置时。 **方法一(适用于旧版 Chrome <96)**: 1. 访问 `chrome://flags/#same-site-by-default-cookies` 2. 将 `SameSite by default cookies` 和 `Cookies without SameSite must be secure` 设置为 **Disabled**[^2] **方法二(新版 Chrome)**: 通过浏览器插件强制修改请求头: 1. 安装扩展 [Requestly](https://chrome.google.com/webstore/detail/requestly-modify-headers/mdnleldcmiljblolnjhpnblkcekpdkpa) 2. 添加规则:在请求头中插入 `Cookie: [原有Cookie值]` ```json { "headers": [{ "header": "Cookie", "operation": "append", "value": "session_id=abc123" }], "requestUrl": "example.com" } ``` --- #### 4. **代码层兼容处理** **场景**:需要兼容 Safari 或旧版浏览器时。 **解决方案**: 在发送跨域请求时显式添加 `credentials: "include"` 参数(需配合 CORS 配置): ```javascript fetch('https://api.example.com', { method: 'POST', credentials: 'include' // 强制携带 Cookie }); ``` --- #### 5. **验证与调试** 1. 打开 Chrome 开发者工具(F12),进入 **Application > Storage > Cookies** 2. 检查目标 Cookie 是否包含 `SameSite=None; Secure` 3. 在 **Network** 标签页查看请求头中是否携带 Cookie --- ### 常见问题补充 - **Safari 兼容性问题**:部分 Safari 版本会忽略 `SameSite=None`,需降级为 `SameSite=Unspecified`[^1] - **企业级部署**:通过组策略强制修改 Chrome 默认配置(需管理员权限)
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值