谷歌浏览器 setCookie失败的原因分析(samesite)

最新推荐文章于 2024-08-31 15:51:31 发布
转载 最新推荐文章于 2024-08-31 15:51:31 发布 · 7.7k 阅读 · 13 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/webHao/p/13432219.html
文章标签:

#javascript #html5

本文深入探讨了Cookie的SameSite属性,解析其如何防止CSRF攻击和用户追踪,介绍了SameSite属性的工作原理,以及如何在谷歌浏览器中进行设置调整。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性

大致在这里就概况下

1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面:
Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。

2,那么SameSite 属性到底是怎么实现了防止CSRF攻击和用户追踪呢?

cookie的sameSite属性就是用来限制第三方网站拿到你的cookie,从而达到减少风险的效果。

比如我们常用的 swagger ,本地测试时,调用login接口,然后查询其他接口会带上cookie,

但是如果我们谷歌浏览器打开了SameSite开关,然后我们在本地调用测试环境的接口时,会发现其他接口拿不到login的setCookie,从而导致登录无效

只有我们关闭浏览器的sameSite开关,我们才可以获得不同域名的setCookie

那么我们怎么关闭谷歌的SameSite设置呢?

1,首先,我们在谷歌输入 chrome://flags/
在这里插入图片描述
2,然后我们输入框输入 :SameSite by default cookies、Cookies without SameSite must be secure
在这里插入图片描述
3,设置上面这两项设置成 Disable

然后重启谷歌就可以关闭这个设置了

当然,如果你不想设置谷歌你也可以通过设置cookie实现访问

关于cookie的设置

报文里面set-cookie,添加SameSite=None; Secure=true

php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5604
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
一文带你了解CSRF与SameSite
josiah_zhao的博客
03-12 902
什么是Cookie 为了解释CSRF与SameSite的成因、关系与历史,我们首先需要对Cookie有一个基础的了解。 我们知道,HTTP请求本身是无状态的,正常来说,服务端收到请求后并不知道请求者是谁; 所以为了记录用户的标识信息,来提供更好更便捷的网络服务,Cookie应运而生。 就好像我们使用ATM服务(HTTP服务)一样,没有插入银行卡(Cookie)之前,机器并不知道面前的人是谁,有多少余额,甚至不让你使用大部分的功能;但是当你插入之前银行发售(SetCookie)给你的银行卡(Cookie)之后
【vue】跨域警告“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
九琼的博客
04-01 7706
此Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自跨站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现跨站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
This set-cookie didn‘t specify a ‘SameSite‘ attribute and was defaulted to ‘SameSite=lax‘
神zhi殇的博客
03-06 2900
它返回一个设置了Cookie的响应,而且该Cookie未指定SameSite属性,浏览器就会发出这个警告。本地登录某个项目系统的时候,login成功,但是login的接口的set-cookie有感叹号,后续的接口并没有携带cookie,导致401登录系统失败。这可能导致跨站点的Cookie在某些情况下被阻止,因为默认情况下,浏览器要求Cookie只能在顶级导航的响应中进行设置,否则就要求设置。: SameSite属性是Cookie的一个属性,用于控制Cookie在跨站点请求中是否被发送。
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
weixin_66709611的博客
03-13 3366
在yaml配置文件中声明即可(注意此做法不安全不是https请求将不会润许发送cookie)
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
m0_71905098的博客
07-02 2863
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域的问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
升级谷歌浏览器到90版本后导致设置set-cookie失败,登录接口成功但还是401问题
wallace_yang的博客
06-07 2521
如题,现象如图: 登录接口成功,但是setcookie失败samesite处有叹号提示,只出现在前端本地调试,前端发到服务器就正常。 下图为感叹号里的翻译: 问题原因:谷歌的90版本把samesite的默认值从none改成了lax,导致了setcookie失败,并且90版本不支持更改samesite的默认值,必须降回89版本才可以修改默认值。 推荐解决方式: 降回89版本, 谷歌浏览器地址栏输入:chrome://flags/ 找到:SameSite by default cookies 设置禁用即可
Chrome 配置samesite=none方式
m0_67400973的博客
08-01 3682
Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。我们遇到的问题是从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。...
Cookie属性SameSite作用
橘导的博客
04-29 820
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
05-10
这个警告是由于Chrome浏览器从版本80开始增加了对SameSite属性的限制,旨在提高网络安全性。SameSite属性用于控制跨站点请求的安全性。 如果你使用了Set-Cookie标头来设置Cookie,并且未指定SameSite属性,浏览器会...
chrome浏览器设置cookie失效
a_wtf_pgm的博客
09-09 4151
chrome浏览器设置cookie失效 复现步骤 在https协议下登录页面,成功设置cookie。这个时候把https协议换成http,再重新登录,发现登录不了cookie没有设置成功。 原因 项目中cookie是通过egg框架的ctx.cookies.set设置的,如果在https协议下,使用该api会对设置的cookie设置一些默认值 上图来自egg官方文档 通过上图可以看出来egg帮我们设置的cookie有一个默认属性secure为ture。 这就导致了在https协议下登录的时候
chrome浏览器中cookie失效
热门推荐
jean850218的博客
03-08 1万+
最近碰到了一奇葩bug,记录一下: 点击在新的标签页弹出新路由,cookie会更新,每请求一次cookie自动更新一次,在FF和IE中请求是正常的,可以正确拿到数据。 但是在chrome中请求,报cookie失效。 复现步骤如下: 1、在本地启动服务,打开chrome浏览器,点击打开新标签页,多次请求正常。 2、刷新当前页,再次发送第三次请求(第一次获取正常的,第二次改变了,第三次拿到的co...
关于Chrome不能set-Cookie 导致Session不能使用
damo01的博客
12-16 967
第一阶段,使用python开发项目时,遇到的问题。(flask) 一:处理Chrome: 1: 地址栏输入 chrome://flags/ 2:搜索框搜索:SameSite by default cookies 然后找到SameSite by default cookies和Cookies without SameSite must be secure 将上面两项设置为 Disable 二:让前端页面和服务器使用相同的主机,注意请求IP ...
Chrome浏览器携带Cookie无效
超频化石鱼的博客
01-18 1829
问题 请求中使用了Session。结果在Chrome浏览器中无效,而在其他浏览器中正常。 这是因为chrome浏览器80以上版本为了防止CSRF攻击而新增了SameSite规则,且默认为打开。 该设置会影响所有涉及到Cookie相关的操作,例如Session。 要想携带Cookie,必须将SameSite设置为禁用。 解决 在chrome的地址栏输入:chrome://flags/。 在搜索栏输入:SameSite。 将搜索到的SameSite by default cookies这一项由Default更
谷歌浏览器中Response中set-cookie无效,不能有效的保存到浏览器Cookie中的情况
Ych_cxy的博客
07-29 6113
解决方案: 1,在浏览器地址中输入 chrome://flags 2,在搜索输入框中输入 SameSite by default cookies 3,下拉框中选择 Disabled 属性 最后重启浏览器就可以了,有什么疑问也可以讨论,欢迎交流。
chrome无法手动添加cookie
qq_36557846的博客
02-15 1139
chrome版本 98.0.4758.102(正式版本) (64 位)手动添加cookie时标红且添加不上 解决办法: 1、Chrome中访问地址chrome://flags/ / 2、搜索Partitioned cookies将设置项改为Enabled即可, 3、重启浏览器,手动添加cookie将会保留,且不会标红 ...
解决尝试通过 Set-Cookie 标头设置Cookie的操作被禁止了,因为此标头具有“SameSite=None“属性但缺少使用”SameSite=None“所需的”Secure”属性问题
G_king_的博客
08-31 3508
springboot服务器设置跨域请求后在application.yml中设置cookie种植地址前端axios设置请求携带cookie。
chorme 80浏览器 的iframe 报错samesite的问题
qq_41566366的博客
08-04 2356
我们有三个站,为了实现登录状态的同步,使用了iframe。但是在使用iframe的时候,一直samesite的错,经过公司大佬查询才发现,这是因为chrome升级到80版本后,默认开启了samesite。 快速解决方案: 1、打开Chrome设置,将chrome://flags/#same-site-by-default-cookies禁用,然后重启浏览器。 2、将SameSite属性值改为None, 同时 将secure属性设置为true。且需要将后端服务域名必须使用https协议访问。 3、由于
electron 如何解决Cookie SameSite限制
最新发布
02-28
<think>好的,我现在需要帮助用户了解Electron如何解决Cookie的SameSite限制。首先,我得回忆一下SameSite属性是什么,以及它在浏览器中的作用。SameSite是Cookie的一个属性,用来防止CSRF攻击,控制Cookie是否随跨站请求发送。它有Strict、Lax和None三个值,None需要Secure属性。 接下来,用户的问题是Electron如何处理这个限制。Electron应用使用Chromium作为核心,所以默认情况下应该遵循SameSite规则。但用户可能遇到需要绕过的情况,比如跨域请求携带Cookie。这时候,我需要考虑Electron提供的API或配置选项。 我记得Electron的session模块可以管理Cookie。可能需要通过session.setCookie或修改请求头来设置Cookie的属性,比如SameSite=None和Secure。同时,需要检查Electron的版本,因为Chromium的SameSite默认行为在不同版本可能不同,比如Chrome 91之后默认Lax。 另外,用户可能需要修改WebPreferences中的设置,比如设置webSecurity选项,但这可能影响安全性。或者通过拦截请求,修改请求头中的Cookie信息,确保SameSite=None。同时,可能需要处理协议的问题,因为Secure属性需要HTTPS,本地开发可能使用HTTP,需要配置Electron允许不安全来源。 还需要注意,Electron的主进程和渲染进程之间的通信,可能需要通过IPC来同步Cookie的设置。此外,第三方库如electron-cookies可能简化操作,但需评估安全性。 最后,要提醒用户虽然可以绕过SameSite限制,但需谨慎,因为这可能带来安全风险。总结步骤应该是检查版本,使用session API设置Cookie属性,调整WebPreferences,处理协议,并在必要时拦截请求修改头信息。</think>以下是 Electron 解决 Cookie SameSite 限制的详细方案: 1. **理解 SameSite 限制本质** - 自 Chrome 91 起 SameSite 默认设为 `Lax` - 跨域请求默认不会携带 Cookie - `SameSite=None` 必须配合 `Secure` 属性使用 2. **通过 Session API 强制设置 Cookie** ```javascript const { session } = require('electron') const setCookie = async () => { const cookie = { url: 'https://yourdomain.com', name: 'test_cookie', value: '123', secure: true, sameSite: 'no_restriction' // 对应 SameSite=None } await session.defaultSession.cookies.set(cookie) } ``` 3. **修改 WebPreferences 配置** ```javascript mainWindow = new BrowserWindow({ webPreferences: { webSecurity: false, // 慎用!会降低安全性 nodeIntegration: true, contextIsolation: false } }) ``` 4. **请求拦截处理(主进程)** ```javascript const { session } = require('electron') session.defaultSession.webRequest.onBeforeSendHeaders((details, callback) => { details.requestHeaders['Cookie'] = 'your_cookie=value; SameSite=None; Secure' callback({ requestHeaders: details.requestHeaders }) }) ``` 5. **HTTPS 强制处理方案(针对开发环境)** ```javascript app.commandLine.appendSwitch('ignore-certificate-errors') // 忽略证书错误 app.commandLine.appendSwitch('allow-insecure-localhost') // 允许本地不安全源 ``` **版本适配注意事项:** - Electron 12+ 对应 Chromium 89+,需显式设置 SameSite - 旧版本需添加 Chrome 兼容标志: ```javascript app.commandLine.appendSwitch('disable-features', 'SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure') ``` **安全建议:** 1. 生产环境必须使用 HTTPS 2. 尽量缩小 `webSecurity: false` 的使用范围 3. 定期更新 Electron 版本以获取最新安全补丁 4. 使用 `partition` 隔离高风险 Cookie: ```javascript const secureSession = session.fromPartition('secure-cookies') ``` **调试工具:** ```javascript // 在渲染进程控制台查看 Cookie console.log(document.cookie) // 主进程验证 Cookie 设置 session.defaultSession.cookies.get({}) .then(cookies => console.log(cookies)) ``` 替代方案:使用自定义协议 ```javascript protocol.registerSchemesAsPrivileged([ { scheme: 'app', privileges: { standard: true, secure: true, bypassCSP: true, allowServiceWorkers: true, supportFetchAPI: true } } ]) ``` 注意事项:此方案需要配套后端设置响应头 ``` Set-Cookie: flavor=choco; SameSite=None; Secure; Path=/ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值