跨域cookie失效问题 SameSite=None和secure

已于 2022-11-11 21:07:12 修改
阅读量8.1k 收藏 11
点赞数 1
分类专栏: 小知识 踩坑分享 文章标签: java 前端 javascript
于 2022-11-11 20:46:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_61672548/article/details/127812833
版权

跨域Cookie失效的天坑(服务端已有跨域配置),客户端在给服务器发送请求的时候需要携带cookie,因为前后端分离有跨域问题,chrome和edge要跨域携带cookie的话需要设置cookie的SameSite = None,同时又要求设置了cookie的SameSite = None就必须设置cookie的secure=true,如果设置了secure=true 理论上必须是Https协议才会携带cookie.

但是在给cookie设置 cookie的SameSite = None和secure=true后,在chrome和edge可以http协议可以正常携带cookie(如图一和图二),但是在360浏览器就不行(如图三)。如果设置 SameSite = None 和 secure=false,在360浏览器正常,但是chrome和edge就不行了(如图四)必须得Https协议才可以携带cookie。

这是一个大坑!

为了所有浏览器可以使用Http协议携带cookie,后续使用nginx,不进行跨域了。

1668170302912)(../../../../PJY_WorkSpace/Typora/images/image-20221111201648303.png)]

图一

在这里插入图片描述

图二
在这里插入图片描述

图三

在这里插入图片描述
图四

只有当cookie设置为“samesite=nonesecure”时_Web 前端新手应该了解的Cookie知识...
weixin_39860732的博客
11-28 7722
正在学习web前端的朋友对Cookie应该不陌生,Cookie是辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据,是web前端中比较重要的知识点。今天小编就为大家带来了这篇文章,让我们一起来看一看Web 前端新手应该了解的Cookie知识。一、Cookie的出现浏览器服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的...
cookie属性SameSite简介
闲人
11-25 737
CSRF 攻击利用用户的身份已认证的会话,在用户不知情的情况下,向受信任的网站发送请求。例如,用户在网站 A 上登录并具有一个有效的 Cookie,攻击者在网站 B 上创建一个恶意链接或表单,诱使用户点击或提交该链接,进而向网站 A 发送请求。通过设置属性,网站 A 可以有效防止 CSRF 攻击,因为任何来自非同源的请求都无法携带有效的身份 Cookie。这种机制确保了只有在用户直接与网站 A 交互时,相关的 Cookie 才会被发送,从而保护用户免受恶意网站的攻击。
如何在Chrome浏览器中临时修改SameSite=NoneSecure
pocher的博客
06-13 1634
如何在Chrome浏览器中临时修改SameSite=NoneSecure
Nginx 解决具有不安全、不正确或缺少 SameSite 属性的 Cookie方案
最新发布
王小工小工历程
03-26 845
若后端已设置Cookie属性,Nginx的proxy_cookie_path会完全覆盖原有设置,而proxy_cookie_flags可增量修改‌18。proxy_cookie_flags仅支持Nginx 1.19.3及以上版本,低版本需改用proxy_cookie_path‌。当设置Secure属性或SameSite=None时,必须部署有效的HTTPS证书,否则浏览器会拦截Cookie。注:生产环境修改前建议在测试环境验证,避免因配置错误导致会话异常‌。此配置会覆盖后端返回的Cookie属性‌。
Chrome 配置samesite=none方式
qq_26441149的博客
04-28 9456
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言二、解决方案1.方案一:修改浏览器配置2.方案二:使用Nginx3.方案三:若服务器为Tomcat,可使用以下方式(Tomcat8.5.x以上版本) 前言 Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致Cookie传输收到限制。 我们遇到的问题是:从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失.
ThinkPHP设置”samesite=nonesecure”参数的方法注意事项
wbryze的博客
03-29 3616
因开发插件需要,将另一个网站的数据通过AJAX添加到ThinkPHP制作 的一个网站上的购物车。 需要网站支持请求同步COOKE,具体操作如下: /public/index.php 第二行添加以下代码: ACAO=′∗′;header("Access−Control−Allow−Credentials:true");//允许COOKIE共享header("XDomainRequestAllowed:1");//允许COOKIE共享IEif(!empty(ACAO = '*'; header("Acces
nginx 为chrome客户端请求加SameSite=NoneSecure
路过君的博客
05-14 2930
http { map $http_user_agent $samesite_attr { "~*chrome" ';Secure;SameSite=None'; } server { location / { ... proxy_cookie_path ~/(.*) "/$1$samesite_attr"; } } }
SameSite=None and Secure
Call_me_small_pure的博客
07-30 3167
A cookie associated with a cross-site resource at http://baidu.com/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies.
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现站点使用。
weixin_66709611的博客
03-13 3156
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
springboot cookie增加SameSite=NoneSecure属性
路过君的博客
05-14 7542
依赖
浏览器系列之 Cookie SameSite 属性
2301_78659329的博客
11-06 1733
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie 的理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 4110
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
【客户端开发】electron 中无法使用 js-cookie问题
日常问题bug解决、学习分享、个人杂谈等等随便写写哈哈哈
11-01 1040
谷歌浏览器升级之后,出于安全考虑,cookieSameSite属性默认值由None变为Lax,对于的请求,禁止携带cookie。不要使用 cookie 来存储 token 等信息,采用浏览器的 localStorage seesionStorage 来存储。CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值:Strict、Lax、None。基于上述原因,主要有两个解决方案,两个方案的本质其实都是将cookieSameSite属性设置成None
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie站点请求伪造
qq_43613949的博客
06-19 2722
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie站点请求伪造@
cookieSameSite属性不正确的问题
if_Echo_else的博客
05-22 2539
根据上述,总共三种操作方式,汇整如下:最简单:设置chrom为禁用samesiteDJango版本低于2.1:引入库django-cookie-samesite来处理Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None
node的express-session设置sameSitesecure不生效且session丢失
wzp20092009的博客
04-15 1488
一般在node环境里,设置请求需要配置sameSitesecure的值,但以下配置往往不生效。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NoBug.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值