解决新版chrome浏览器SameSite属性cookie拦截问题

最新推荐文章于 2025-11-06 11:01:51 发布
原创 最新推荐文章于 2025-11-06 11:01:51 发布 · 4.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#chrome #elasticsearch #前端

新版Chrome浏览器默认屏蔽了第三方Cookie,导致跨站请求不再发送Cookie,影响了部分系统的正常运行。解决方案包括:不推荐的禁用SameSite属性或回退浏览器版本,同源策略下的Cookie共享,或者设置`Set-Cookie`响应头为`HttpOnly;Secure;SameSite=None`(需配合HTTPS)。另外,推荐采用token来替代Cookie实现会话管理。

解决新版chrome浏览器SameSite属性cookie拦截问题

问题现象
由于升级了新版chrome浏览器后,发现系统正常iframe嵌套、AJAX,Image从以前的跨站会发送三方 Cookie,变成了不发送。导致某些内容无法显示了,页面空白,但是请求未报错。
查找资料:
发现Google 在2020年2月4号发布的 Chrome 80 版本中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性,并且拒绝非Secure的Cookie设为 SameSite=None
SameSite的作用就是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪,此举是为了从源头屏蔽 CSRF 漏洞。
解决方案:
1.(不推荐)禁用浏览器samsite属性/或降低版本(目前仅chorme存在)
2.(不推荐)保证同源策略cookie共享(保证ip或域名一直)
3.(推荐)设置response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”),需设置https证书
4.(推荐)不使用cookie共享会话,使用token实现

kinoko57
关注
php 解决Chrome CookieSameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5701
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
解决chrom浏览器iframe嵌套写cookie问题
火焰云的博客
01-19 7067
chrom浏览器环境下当前网站被第三方iframe嵌套,如何保证cookie值成功写入 1、保证请求的url必须是https协议。 2、response头部设置 response.setHeader(“Set-Cookie”,ut+“Path=*; SameSite=None; Secure”);
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 2万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
Chromium142版本策略更新跨协议cookie失效问题
最新发布
小白成神路
11-06 1415
Chrome 142版本(2025年10月)将禁止HTTP请求读取HTTPS写入的Cookie,可能导致单点登录等场景失效。此次升级旨在堵住安全漏洞,防止敏感Cookie通过明文HTTP传输被劫持。解决方案是全面升级站点至HTTPS,包括服务端配置和页面请求调整(参考博主过往技术文章)。此举既是应对Chrome强制安全策略,也是提升自身防护的必要措施。建议开发者提前适配,避免业务受损。
新版chrome浏览器带来的跨域请求cookie丢失问题
qq_16059847的博客
09-27 6993
今天线上业务的跨域接口请求莫名的出现问题,经深入排查,发现新版本的chrome浏览器(80版本之后)对cookie的校验更加严格,SameSite属性默认值由None变为Lax,因此可能会对线上业务带来问题特此与大家同步一下今天的发现,存在跨域接口调用业务的小伙伴可能需要关注。 chrome升级到80版本之后(准确的说是78版本之后,灰度测试,如上图,即也可能存在同一版本不同人的浏览器表现不同),cookieSameSite属性默认值由None变为Lax,该问题的讨论可参考:https://githu
解决尝试通过 Set-Cookie 标头设置Cookie的操作被禁止了,因为此标头具有“SameSite=None“属性但缺少使用”SameSite=None“所需的”Secure”属性问题
G_king_的博客
08-31 4591
springboot服务器设置跨域请求后在application.yml中设置cookie种植地址前端axios设置请求携带cookie
会话Cookie未设置Secure属性漏洞
my的博客
01-15 7689
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
如何解决Chrome浏览器强制SameSite=Lax的问题
04-26
嗯,用户的问题是想要解决Chrome浏览器强制设置SameSite=Lax的问题。我需要先理解SameSite属性的作用以及为什么Chrome默认设置为Lax会导致问题SameSite是用于控制Cookie在跨站请求中是否发送的属性,有三个值:...
新版chrome浏览器跨域请求cookie丢失
【03】的博客
11-29 961
关于 chrome升级到80版本之后(最坑的地方:灰度测试,即也可能存在同一版本不同人的浏览器表现不同),cookieSameSite属性默认值由None变为Lax 在Lax模式下,以下类型请求将受影响: 请求类型 示例 正常模式 Lax模式 链接 <a href="…"> 发送 Cookie 发送 Cookie 预加载 <link rel=“prerender” href="…"/> 发送 Cookie 发送 Cookie GET 表单 <form
js可以设置浏览器samesite属性
04-25
好的,我现在需要处理用户的问题:如何用JavaScript设置浏览器CookieSameSite属性。根据用户提供的引用内容,我需要综合这些信息来给出正确的解答。 首先,用户提到SameSite属性是为了控制跨域时的Cookie行为,...
怎么在tomcat运行的java项目 在Cookie 配置 SameSite 属性
06-21
- **测试和验证**:使用浏览器开发者工具(如 Chrome 的 Application 标签)检查 Cookie 是否包含 SameSite 属性。 - **安全建议**: - 对于敏感 Cookie,优先使用 `SameSite=Strict` 或 `Lax`。 - 如果设置为 `...
解决新版chrome samesite默认级别为lax,后端用shiro必传cookie但是传不过去的问题
weixin_38067069的博客
08-12 4207
先说一下解决办法 1、修改浏览器配置(不推荐) 地址栏输入:chrome://flags/ 找到SameSite by default cookies和Cookies without SameSite must be secure 将上面两项设置为 Disable 2、后端与前端同域(推荐) 我是用这种方式解决的。用nignx代理后端服务器,等于前后端在同一个域下,这样就不存在跨域的问题,也就不存在samesite的验证问题了,所...
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 2926
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端传来的Cookie可以在前端正常保存,但当前端向后端请求时携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
谷歌浏览器设置禁用samesite,IE浏览器设置禁用samesite
qq_36659553的博客
10-14 5350
谷歌: 1.谷歌浏览器打开chrome://flags/ 2.搜索samesite 3.SameSiteby default cookies项设置为Disabled即可 IE: 1.打开ie设置——Internet选项 2.隐私——接受所有的Cookies(滚动条到最下方即可)
安全httponly samesite http cookie属性并设置cookie说明
weixin_26711867的博客
09-04 2777
Cookies are the most common method to add temporary persistency to websites. They are used in most websites and we know their consent banners. HTTP Cookies can contain crucial and confidential data, t...
【vue】跨域警告“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
九琼的博客
04-01 8059
此Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自跨站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现跨站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
response.setHeader()的用法
热门推荐
Ljm_的博客
07-02 2万+
1. HTTP消息头(1)通用信息头即能用于请求消息中,也能用于响应信息中,但与被传输的实体内容没有关系的信息头,如Data,Pragma主要: Cache-Control , Connection , Data , Pragma , Trailer , Transfer-Encoding , Upgrade(2)请求头用于在请求消息中向服务器传递附加信息,主要包括客户机可以接受的数据类型,压缩方...
Chrome解决访问限制SameSite设置
weixin_48017822的博客
06-08 1万+
Cookie——SameSite属性 SameSite属性Chrome浏览器为了防止CSRF攻击和用户追踪,CookieSameSite属性用来限制第三方Cookie,从而减少安全风险。即如调用第三方登录组件,会完全禁止第三方Cookie,跨站点时,任何情况下都不会发生Cookie。换言之,即当前网页的URL与请求目标一致,才会带上Cookie。 放开限制设置方法:https://support.siteimprove.com/hc/en-gb/articles/360007364778-Tu.
新版chrome跨域问题cookieSameSite属性
Welcome to Domla's world
03-16 2万+
最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题: 发现问题: 登录界面前后端分离,ajax...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值