浏览器安全机制-----Samesite

最新推荐文章于 2024-08-01 09:22:53 发布
最新推荐文章于 2024-08-01 09:22:53 发布
阅读量841 收藏 1
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/reffrselom/article/details/107713996
版权

iframe内嵌其它系统登录页:
开始是可以登陆成功的,过了几天,突然无法登陆了,而浏览器直接访问内嵌系统,还是正常登录的,
这是为什么呢? 看到如下警告信息:
在这里插入图片描述
“Samesite”,这可是第一次见,于是查一查:

现象
火狐可以、chrome版本<80可用
问题了解
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
Chrome升级到80版本后,默认限制了cross-site携带cookie,导致cookie失效
我这里就是iframe嵌如页面来进行登录,应该就是被当成了第三方cookie,导致无法读写浏览器cookie信息了

这里还涉及一个P3P协议的问题
火狐不支持P3P协议,故不受影响

后面会继续结合单点登录实践这个问题,后续跟进更新~

**参考地址:https://blog.youkuaiyun.com/zhoudingding/article/details/107374885
https://blog.youkuaiyun.com/qq_37788558/article/details/104484888?
**https://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html
https://blog.youkuaiyun.com/qq_42999924/article/details/105160937

hadoop配置文件详解系列(一)-core-site.xml篇
关于代码的那些事
03-09 4726
导读:关于hadoop的配置文件,目前其它网站资料中都是只写了几个常用的属性配置,但平时可能也会用到其它属性,这里就一起写出来,供大家参考。本篇先从core-site.xml开始,后续将继续进行其它配置文件的梳理。 属性名称 属性值 描述 hadoop.common.configuration.version 0.23.0 配置文件的版本。 hadoop.tmp.dir /tmp/hadoop-${user.name}
80版本后谷歌浏览器跨域cookie丢失原因及通过HttpCookie设置SameSite的解决办法
qq_25708927的博客
08-08 3295
1、跨域cookie丢失原因以及处理 2、如何将cookie中SameSite属性设置为None
similar-sites:该项目是将Firefox扩展的SameSites 3.0重建为旧版https
05-19
项目名 该项目是将Firefox扩展SameSites 3.0重建到旧版。 原始版本是使用构建的。 安装 下载此并将其安装在Firefox中。 用法 待办事项:编写使用说明 执照 此项目受Mozilla Public License v。2.0约束
java设置cookie浏览器中没有_ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用...
weixin_39650784的博客
11-27 212
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录时 Antiforgery Token 总是验证失败。日志中记录的对应错误是Antiforgery token validation failed. The required antiforgery cookie "xxx.Antiforgery" is not present.今天在 QQ浏...
Cookie 的 SameSite 属性
weixin_49896519的博客
11-12 419
Cookie 的 SameSite 属性 关于 cookie的问题,本来以为是小毛病,谁知道在一个前端群里居然被人讨论了一上午。 正常启动一个项目,直接登录就可以了,但是有些并不是。 解决方法如下: 方法一 : 1、在线上登录项目,这里指已经发版到线上(SIT、UAT环境均可) 2、启动本地代码,再次登录本地项目 方法二 : 下载一个 【火狐浏览器】 ,直接登录本地项目。 (此方法是我遇到这个问题后直接使用,亲测!) 方法三 : 1.浏览器地址栏输入: chrome://flags/ 2.SameSite
html5新增属性cookies,关于cookie的SameSite属性
weixin_34357833的博客
06-03 1095
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性大致在这里就概况下1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面:Cookie 往往用来存储用户的身份信息...
html5中http服务默认端口号,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_29570795的博客
06-27 896
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookie。Cookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
lift-samesite-cookie-workaround
04-06
"lift-samesite-cookie-workaround"这个项目专注于解决在使用Scala编程语言时遇到的同站(SameSite)Cookie问题。同站Cookie是浏览器为了防止跨站请求伪造(CSRF)攻击和增强用户隐私而引入的一种机制。然而,在某些...
SecureHeaders库:轻松实现浏览器安全功能与PHP集成
标题中提到的“SecureHeaders”是一个专门为浏览器安全功能提供便利的PHP类库,它帮助开发者通过修改HTTP头部来增强Web应用的安全防护。 ### 安全头(Security Headers)的概念 安全头是服务器在HTTP响应中设置的...
浏览器用户文件夹详解 - Cookies(三)
最新发布
守城小轩的技术窝棚
08-01 2897
Cookies,中文常译为"饼干"或"小甜饼",是一种由网站服务器存储在用户浏览器中的小型文本文件。它们可以包含各种信息,如用户ID、密码、浏览记录等。当用户再次访问该网站时,浏览器会将相关的Cookie信息发送给服务器,以便服务器识别用户身份并提供个性化服务。通过本文的探讨,我们对Chromium浏览器中的Cookies文件有了更深入的认识。我们了解了Cookies在现代Web应用中扮演的关键角色,以及它们在功能和安全方面的双重性。
web5-HTTP/HTTPS
growing_duck的博客
11-01 2079
http 和 https解析
samesite cookie防御CSRF漏洞
balance的博客
02-20 4760
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 https://textslashplain.com/2019/09/30/same-site-cookies-by-default/ 这个特性会导致: 1、web开发者需要重新考虑某些跨域读取数据功能 2、依靠third-party cookie的广告商(比如)可能行不通...
记一次浏览器SameSite策略更新,导致接口 Failed to load response data 的解决过程
liyoro的专栏
01-22 5214
浏览器SameSite策略更新,会导致前端不发送Cookie,造成接口不返回数据,也就是Failed to load response data问题
【信仰充值中心】Firefox 96 正式版用户特性介绍
龙哥盟
02-12 335
来源:https://bbs.popkart.org/?thread-113.htm 此版本首发于 2022 年 1 月 11 日,主要内容为安全及性能优化,参考官方日志和 Ghacks。 一、改进 WebRTC 的语音通话体验 我们可以通过 WebRTC 在浏览器中进行音视频通话。 现在的 Firefox 在噪声抑制和自动增效方面做出了重大改进,同时也为回音消除做了些许优化,于是有更好的使用体验。 在这里可以看到 API 文档,以下是其工作流程。 二、强制执行的 Cookie 策略 Fire..
跨域 SameSite secure
龙丨行的博客
10-28 1754
问题描述: 在 chrome 上, pdf预览失败,报错500,可是新开标签页,把请求地址放到地址栏里进行请求,又能获取到相应的数据; 在 火狐浏览器 均能正常显示。 经对比发现 1.页面内报错的请求Content-Type 为 application/json;charset=UTF-8 ;而标签内的能够正常返回的Content-Type为 application/pdf;charset=UTF-8 ; 向后端确认其返回的 Content-Type 为 application/pdf;
浏览器默认设置SameSite属性的作用
oi
01-30 7499
系列文章目录 文章目录系列文章目录一、CSRF 攻击是什么二、SameSite 属性 一、CSRF 攻击是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造 CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。 一个典型的CSRF攻击有
解决跨域下Cookie的SameSite问题(使用Nginx)
热门推荐
tmyth的专栏
02-16 3万+
#简介 Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
axios(ajax),springboot 跨域携带session
Qc1998的博客
09-01 2383
前端发送跨域请求时默认是不会携带cookie的,后端无法获得sessionId。要解决这一问题,前后端配置分别如下 前端配置 前端通过设置withCredentials: true来解决。如果是在vue中使用axios,需要设置 axios.defaults.withCredentials = true 如果使用的是jQuery的ajax方法 $.ajax({ url : '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值