Chrome80、91版本跨域请求接口未携带cookie JSESSIONID问题

最新推荐文章于 2025-03-17 23:26:17 发布
原创 最新推荐文章于 2025-03-17 23:26:17 发布 · 7.5k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Chrome80 #cookie #丢失 #跨域请求

本文解析Chromium内核80+版本浏览器更新后,对跨域接口安全策略升级导致的Cookie问题。重点介绍不同版本的解决方法,包括禁用SameSiteByDefaultCookies特性、设置axios.defaults.withCredentials及使用代理转发同域请求。

Chromium内核系列的浏览器(Chrome、Microsoft Edge、双核国产浏览器等)更新到80+版本后,升级了对跨域接口默认的安全策略,如果后端采用SpringBoot框架,接口通过JSESSIONID方式验证,跨域请求的接口就会出现以下验证失败的过程:

1.前端浏览器在登录界面填写帐号密码发送登录请求向后端服务器接口验证身份
2.后端服务器验证帐号密码匹配成功后生成一个JSESSIONID身份标识,通过响应头Response Headers的Set-Cookie:JSESSIONID=xxxxx返回给浏览器
3.浏览器接收到响应头Response Headers中的Set-Cookie指令后将JSESSIONID=xxxxx身份标识保存在Cookie中,同时接收到响应主体Response中返回的成功code码,路由进入到业务界面
5.浏览器再次向后端服务器发起获取业务数据的请求,正常情况下请求头Request Headers中会携带Cookie:JSESSIONID=xxxxx身份标识,但因跨域安全策略的原因,导致浏览器请求头Request Headers中并未携带Cookie:JSESSIONID=xxxxx身份标识
6.后端服务器接收到浏览器获取业务数据的请求时,发现请求头Request Headers里没有携带Cookie:JSESSIONID=xxxxx身份标识,鉴权后拒绝了请求,同时通过响应头Response Headers的Set-Cookie:JSESSIONID=xxxxx再次给浏览器返回一个新的JSESSIONID身份标识,并在响应主体Response中返回无权限的code码
7.浏览器接收到后端服务器的响应头Response Headers后继续开始第3步,由于响应主体Response中返回的无权限code码,路由又跳转回登录界面,这样就形成了死循环

91版本解决方案

1.关闭所有浏览器(非常重要,有必要的话打开任务管理器把chrome相关的进程全部杀掉或者直接重启电脑)
2.打开Chrome快捷方式的属性,在“目标”文本框内容的最后先敲几个空格然后粘贴下面的内容
--disable-features=SameSiteByDefaultCookies
或者
--flag-switches-begin --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --flag-switches-end
在这里插入图片描述

3.重启浏览器

相关资料:https://blog.youkuaiyun.com/weixin_46146313/article/details/117707199

80版本解决方案

1.如果是用axios请求接口,先设置 axios.defaults.withCredentials = true
2.打开谷歌浏览器在Chrome中访问chrome://flags
3.搜索SameSite,把搜到的结果项都设置为disabled,然后重启浏览器,如下图
在这里插入图片描述

通用解决方案:代理转发同域请求(推荐)

1.如果是用axios请求接口,先设置 axios.defaults.withCredentials = true
2.前端把axios.defaults.baseURL接口指向当前页面域名+指定标识(如/api),中间用Nginx将域名接口中带/api的请求代理到后端实际的接口地址

axios.defaults.baseURL = 'http://www.xxx.com/api';
axios.get('/news').then();

Nginx配置:

server {
    listen       80;
    server_name  localhost;

    #把域名包含/api前缀的接口地址都代理到后端接口
    location /api {
        proxy_pass http://www.yyy.com:8888; #后端接口地址
    }
    error_page   500 502 503 504  /50x.html;
        location = /50x.html {
        root   html;
    }
}

假如开发环境没有做代理转发,打包到生产环境需要做域名代理转发,域名是动态的情况下,vue项目在main.js新增生产环境模式下动态获取域名设置到axios.defaults.baseURL

if (process.env.NODE_ENV === 'production') {
    axios.defaults.baseURL = window.location.origin + '/api';
}
参考资料
Chrome 80cookie无法携带
Jaden
03-12 4452
什么是cookie HTTP是无状态协议,也就是说服务器完全不清楚是否是同一位用户在访问。在最开始HTTP协议只是做为共享文本内容而存在是可行的,但是随着Web发展,Web内容的丰富化,必须需要有一种技术去记录HTTP协议的用户状态,而cookie技术就是充当这个角色的。 简言之,cookie就是存储在浏览器下的文本文件,用于记录用户状态信息。用户在第一次向服务器发送访问请求时,浏览器发起请求,...
Cookie | Cookie的理论基础、Cookie中常用的方法
m0_61933976的博客
12-12 1418
Cookie | Cookie的理论基础、Cookie中常用的方法
Cookie问题记录
henghengzheng的博客
03-16 299
采用http请求模拟网页加载请求html文本的时候遇到的问题。 地址是对的却请求到错误的界面,原因接口采用的请求头的验证,主要是cookie,user_Agent,Referer等。 Cookie问题的简单记录 cookie主要是有服务端生成的,然后前端保存本地,获取服务端的cookie设置的字段,在Response的header的Set-Cookie字段中,可能会有多个。 解决思路将的到
nginx配置转发,接口无法获取cookies的问题
hjg的专栏
05-26 4035
前端分离之后通过nginx进行转发到接口,但是接口无法获取到cookies。这个是因为后端创建的cookie和前端的地址不一致。而浏览器限制了,如果cookies的path与当前页面的地址不一致,会无法生效。解决方式:在nginx中配置proxy_cookie_path对cookies的path进行修改。
Cookie中的JSESSIONID说明
qq_42449963的博客
07-28 4337
事实上当用户访问服务器的时候会为每一个用户开启一个session,浏览器是怎么判断这个session到底是属于哪个用户呢?换句话说服务器识别session的方法是通过jsessionid来告诉服务器该客户端的session在内存的什么地方。注意此cookie由于没有设置cookie有效日期,所以在关闭浏览器的情况下会丢失掉这个cookie浏览器会根据响应头的set-cookie信息设置浏览器cookie并保存之。不难发现这个的jsessionid和上面的jsessionid是一样的。......
Chrome浏览器JSESSIONID丢失
zhj9705的博客
05-15 1787
Chrome查看网站信息,发现JSESSIONID丢失,检查是冲突,故改名! Tomcat在没有做任何特殊配置的情况下其session的CookieID为 JSESSIONID(sessionId 是通过浏览器Cookie 来存储和传递的)。 修改Tomcat 的 conf/server.xml 文件,修改接近文件最下面的 <Context ………… /> 元素, 新增sessionCookiePath和sessionCookieName,sessionCookieName修改为其他名称即可。
请求时不带JSESSIONID导致shiro总是鉴权失败
xurk0922的博客
09-16 1445
框架 Spring + Shiro 问题详细描述 项目是通过ajax去进行登录校验,当检验成功后在前端页面使用window.location = “main”跳转到主页。主页相关的Controller中使用了@RequiresAuthentication(使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证。),在某些条件下,登录步骤正确完...
chrome浏览器每次请求都会产生一个新的session的问题chrome为了增强安全性,新增了一个SameSite的属性
一个学习Java开发的老头
12-12 1488
问题的最直接现象就是每次请求在后台过滤器里通过request.getSession().getId(),拿到的id都是不同的,导致后面出现一些不正常的结果。或者在 Shiro的权限控制中,通过session设置token信息,在授权的时候想要通过SecurityUtils.getSubject().getSession()获取session后,通过session.getAttribute()获取不到之前session.setAttribute()设置的token信息。
PHP关于IE下的iframe导致session丢失问题解决方法
12-19
总的来说,针对IE浏览器中iframe导致Session丢失问题,关键在于理解浏览器Cookie的处理方式,特别是IE的独特限制。通过设置P3P头,可以通知浏览器允许iframe内的页面使用和共享Session,从而修复登录和...
目前的浏览器 禁止第三方cookie 如何解决问题
最新发布
08-13
这是目前最主流的解决方式,适用于请求需要携带 Cookie 的场景(如登录状态)。 #### 后端设置(Spring Boot 示例): ```java import org.springframework.context.annotation.Configuration; import org....
解决Spring Boot中Chrome浏览器Session ID频繁变动的问题
qq_42763903的博客
03-17 1375
在使用Spring Boot实现Redis Session后,Chrome内核的浏览器(如Chrome、Edge等)可能会出现Session ID频繁变动的问题,而IE浏览器则表现正常。本文详细分析了该问题的原因,主要包括Chrome对`SameSite`属性的默认行为、Cookie的`Secure`属性、浏览器对第三方Cookie的限制以及Cookie路径或配置问题。针对这些问题,提供了以下解决方案: 1. **配置`SameSite`属性**:通过自定义`CookieSerializ
cocos 安卓包请求JSESSIONID fetch 方法
07-24
在 Cocos Creator 打包的 Android 应用中通过 `fetch` 发送携带 `JSESSIONID` 的网络请求,需要解决两个核心问题:**Cookie 管理**和**平台兼容性**。以下是具体实现方案: --- ### 一、解决方案步骤 #### 1. ...
90版本以上的谷歌浏览器,本地请求携带cookie
TurtleOrange的博客
07-21 3029
90版本以上的谷歌浏览器,本地请求携带cookie 1.发现问题 本地用谷歌浏览器跑localhost代码在登录页面去登录,接口一直报请求超时(之前没有问题),经查看前端在发请求的时候没有携带cookie(如下图) 2.产生问题原因 经过测试,谷歌浏览器线上代码没问题√,谷歌浏览器跑本地代码localhost有问题×,火狐浏览器线上代码没问题√,火狐浏览器跑本地代码localhost没有问题√; 原因是:Chrome禁用第三方Cookies的计划,在91版本谷歌浏览器把same-site-by-def
chrome 浏览器(>=80)下 axios 不携带 Cookie 的解决方案
m0_37566921的博客
12-25 817
chrome 浏览器(>=80)下 axios 不携带 Cookie的解决方案 首先线上环境 确实在setCookie的时候 通过设置 samesite: none 和 secure: true,并且运维侧配置https,解决这个问题 开发环境,因为没有https的支持,可以通过关闭 chrome 的 samesite 默认设置,来实现http下的正常开发,具体的设置如下: 1.打开chrome设置:chrome://flags/#same-site-by-default-cookies 2.将.
谷歌和火狐浏览器在响应头中看不到Set-CookieJSESSIONID
梦凝哲雪
04-11 2772
第一次会话建立时,服务器会生成一个sessionid,然后通过响应头写到客户端的cookie中, 但是在Chrome和Firefox中响应对象中隐藏了 Set-Cookie: JSESSIONID=0A43A535B56BB48123744A410E961DA6 只能看到自定义的cooike response.addCookie(new Cookie("yc", "aa")); request.getSession(true); response.sendRedirect("index.jsp");
谷歌 使用 iframe 标签,标签内发送的请求没有携带cookie问题
brilliantSt的博客
07-01 4674
问题描述: 项目中需要使用 iframe 标签来嵌入之前做过的页面,但是发送请求时没有携带cookie问题解析: 这是因为Chrome 80版本及以上默认是禁止第三方cookie的(具体修改信息请查看 这篇文章 ),需要后端修改; 解决方式: 后端设置cookie的时候加一句 SameSite=None;如果后端暂时没有时间修改,可以先拿火狐浏览器开发… ...
解决Gin框架下 浏览器(chrome)在setcookie()后不能成功携带cookie问题
qq_37106501的博客
10-26 2089
解决Gin框架下 浏览器(chrome)在setcookie()后不能成功携带cookie问题
解决前端ajax请求携带cookie信息JSESSIONID问题
我驾驶汽车从不是为了从A点到达B点,我喜欢去感受汽车,与之交流,与之融为一体。
02-19 5672
xhrFields: { withCredentials: true, //解决问题 credentials: 'include',//解决前端加入Cookie请求头的问题 },
Chrome 无法携带cookie的各种解决方案
小桥流水丿小溪
03-03 4479
同源策略的历史及对应的解决方案 当页面内发起请求时,会默认携带名下的cookie。 而cookie同源策略是指:除非当前名和请求名是同源,才会默认携带cookie。 这就导致,localhost直接请求测试环境的接口,比如 http://api.baidu.com,此时不会携带 cookie,从而导致登录失效的问题。 这一策略从chrome 80开始存在,而chrome 91升级,chrome 94再升级。 chrome 各个版本如何禁用同源cookie策略: chrome < 91,可以
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值