解决跨域下Cookie的SameSite问题(使用Nginx)

最新推荐文章于 2025-06-13 13:57:02 发布
最新推荐文章于 2025-06-13 13:57:02 发布
阅读量3.1w 收藏 23
点赞数 6
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tmyth/article/details/104340403

简介

  Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,且发现包括360、搜狗当前版本浏览器不兼容SameSite属性导致在加入SameSite后无法传递cookie,所以本文提出一套使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。

使用Nginx的proxy_cookie_path功能

proxy_cookie_path功能说明:

Sets a text that should be changed in the path attribute of the “Set-Cookie” header fields of a proxied server response. Suppose a proxied server returned the “Set-Cookie” header field with the attribute “path=/two/some/uri/”. The directive
proxy_cookie_path /two/ /;
will rewrite this attribute to “path=/some/uri/”.

具体配置方法(在location节点下加入,配置后重载Nginx):
  如果站点Cookie所在目录在根目录/下,设置如下:
    proxy_cookie_path / “/; secure; SameSite=None”;
  如果站点Cookie所在目录在abc目录下,设置如下:
    proxy_cookie_path /abc/ “/abc/; secure; SameSite=None”;
  如果无法确定站点Cookie目录,可使用Chrome开发者工具,监测Network下网络请求,找到Response Headers中set-cookie属性值,该值中有path属性值即为Cookie目录,也即上文要替换的/或者/abc/值。

旧浏览器不兼容SameSite问题

  笔者在通过使用proxy_cookie_path后发现一些国产浏览器比如360、搜狗浏览器不兼容SameSite属性,cookie直接无法正常传递了,通过浏览器UA判断其使用的chrome内核为较旧版本,为了兼容这些浏览器,这里需要判断UA来实施proxy_cookie_path命令,具体操作方法:
  首先,为了让nginx能判断UA中的chrome版本,笔者采用了Nginx支持的njs脚本,编译Nginx支持njs的方法:
    http://nginx.org/en/docs/http/ngx_http_js_module.html
  然后,编写njs脚本,文件可以命名为ua.js:

function getChromeVersion(r) {
	var ua = r.headersIn["user-agent"];
	if(ua){
		var flag = /Chrome\/([0-9]+)/.exec(ua);
		if(flag && flag.length > 1){
			return flag[1];
		}
	}
	return -1;
}
function getCookiePathMagicFlag(r) {
	var version = getChromeVersion(r);
	if(version != -1 && version < 79){
		return "-evil"; 
	}
	return "";
}

  这里将ua.js文件放到nginx.conf同目录下,在nginx.conf 的 http节点下加入两行:
    js_include ua.js;
    js_set $cookiePathMagicFlag getCookiePathMagicFlag;
  (这里$cookiePathMagicFlag是一个标识符,可以根据这个标识符来决定是否执行proxy_cookie_path的替换,也避免了使用nginx的if。)
  最后将上文中的proxy_cookie_path命令语句改为:
    proxy_cookie_path /$cookiePathMagicFlag “/; secure; SameSite=None”;
    或者
    proxy_cookie_path /abc/$cookiePathMagicFlag “/abc/; secure; SameSite=None”;

总结

  笔者通过以上配置,测试了包括360、搜狗、火狐、IE、chrome浏览器都可以正常传递cookie了。截至最后测试,360、搜狗最新版本(用了旧的chrome内核)依然未兼容SameSite属性。

tmyth
关注
Nginx设置HttpOnly Secure SameSite参数 解决Cookie信息丢失
m0_74825152的博客
12-03 1044
当然,前提是用户浏览器支持 SameSite 属性。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。浏览器F12 在网络下查看当前状态,SameSite属性缺失,我们需要通过配置nginxSameSite属性设置为Strict或者 Lax。在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问。
google浏览器cookie携带和samesite问题
weixin_45670469的博客
07-13 2900
前端时间项目登录过程中使用google登录一直登录不上,知道是google版本更新,一直没时间来解决,这次抽空把这个问题解决下,做一些说明记录
Nginx新增SameSite属性的cookie
pocher的博客
06-13 3776
Nginx新增SameSite属性的cookie
Web应用漏洞:Cookie未配置SameSite属性或配置不合理
最新发布
Halo333的博客
06-13 1041
Secure,意味着浏览器在站和同站请求中都会发送cookieSameSite=Strict,意味着浏览器仅对同一站点的请求发送cookieSameSite=Lax,意味着不会在站请求中发送cookie。Tomcat 8.5.59和Tomcat 8.5.100适用。
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie站点请求伪造
qq_43613949的博客
06-19 3011
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie站点请求伪造@
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
ilqgffvramusm2864的博客
05-22 2万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie的安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie中设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
Nginx配置解决Chrome浏览器SameSite问题
shijin741231的博客
08-31 6518
Nginx配置解决Chrome浏览器SameSite问题 最近联调接口,反复遇到chrome问题,本来解决也很顺畅,结果突然有一个客户非要使用chrome 63的版本。。。。。。我折腾半天也没太好的办法,只能通过nginx去识别chrome浏览器版本决定返回cookie值来解决。 参考链接: 参考链接: Chrome修改了cookie安全策略. 参考链接: 通过Nginx设置HttpOnly Secure SameSite参数解决Cookie丢失. 参考链接: 关于IE下面iframe co
利用nginx解决cookie访问的方法
09-30
在处理Web应用中的问题时,特别是涉及到Cookie共享时,Nginx作为高性能的HTTP和反向代理服务器,能够通过配置帮助解决相关难题。当项目需要迁移到新的服务器环境中,特别是从有名的环境迁移到只有IP地址的环境...
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 4173
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
完美解决Chrome Cookie SameSite站限制
josiah_zhao的博客
03-10 7592
问题背景 在前后端分离的大趋势下,如果没有额外的配置部署方案,前端地址和后台API地址是不一样的。比如在本地开发调试阶段,前端地址为http://localhost:3000,后台API地址为http://api.server.com/api/list。 那么地址不一样会有什么问题呢? 如果你请求的后台API需要携带Cookie进行鉴权,那么在这种地址不一样的情况下,会因为浏览器的Cookie SameSite站限制,导致Cookie不会被正确传递,进而导致请求API接口总是报错没有认证或者权限不足。
浏览器: jsonp,cors,postMessage,nginx代理扩展: cookie,单点登录
柠檬的博客
06-20 625
浏览器: jsonp,cors,postMessage,nginx代理 扩展: cookie,单点登录
Nginx 解决具有不安全、不正确或缺少 SameSite 属性的 Cookie方案
王小工小工历程
03-26 1832
若后端已设置Cookie属性,Nginx的proxy_cookie_path会完全覆盖原有设置,而proxy_cookie_flags可增量修改‌18。proxy_cookie_flags仅支持Nginx 1.19.3及以上版本,低版本需改用proxy_cookie_path‌。当设置Secure属性或SameSite=None时,必须部署有效的HTTPS证书,否则浏览器会拦截Cookie。注:生产环境修改前建议在测试环境验证,避免因配置错误导致会话异常‌。此配置会覆盖后端返回的Cookie属性‌。
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
nginx配置之proxy_cookie_path
weixin_45693244的博客
03-05 3731
nginx通过proxy_pass反向代理cookie、session丢失的问题cookie 的 path 与地址栏上的 path 不一致, 浏览器就不会接受这个 cookie, 无法传入。如果cookie的path与地址栏上的path不相符游览器就不会接受这个cookie,那每次请求都会重新生成cookiecookie中存放这sessionId,自然。配置的nginx:将响应给客户端的set-cookie 由 /smartbi 改成 /cms/scSmartbi/;
漏洞修复:Cookie Security: Overly Permissive SameSite Attribute
CutelittleBo的博客
02-07 4009
描述 The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). Session cookies represent a user to the site to allow user to perform authorized actions. However, the browser automatically sends the cookies and therefore
SameSite Cookie
qq_33903215的博客
03-03 675
简介 Cookies是可用于向网站添加持久状态的方法之一。多年来,他们的能力不断发展壮大,但使平台遗留了一些有问题的遗留问题。为了解决这个问题,浏览器(包括Chrome,Firefox和Edge)正在更改其行为,以强制实施更多保留隐私的默认设置。 每个Cookie都是一key=value对,以及许多控制何时和何处使用Cookie的属性。您可能已经使用这些属性来设置诸如到期日期之类的内容,或者指示cookie仅应通过HTTPS发送。服务器通过Set-Cookie在响应中发送适当命名的标头来设置Cookie
nginx 为chrome客户端请求加SameSite=None;Secure
路过君的博客
05-14 2957
http { map $http_user_agent $samesite_attr { "~*chrome" ';Secure;SameSite=None'; } server { location / { ... proxy_cookie_path ~/(.*) "/$1$samesite_attr"; } } }
前端问题解决方案以及代码
03-17
<think>嗯,用户之前问过关于ECharts的使用,现在又问前端问题解决方案和代码。看来他们可能在开发前端项目,遇到了问题,需要具体的解决办法。 首先,用户可能是在本地开发时遇到了,比如用Vue或React启动了一个本地服务器,然后请求后端API时出现错误。这时候他们需要知道如何配置代理或者后端设置CORS。 然后,用户可能对的基本概念不太清楚,需要先解释什么是,同源策略的限制。不过用户直接要解决方案和代码,可能已经知道基础,但需要具体的方法。 常见的解决方案包括:后端设置CORS,前端配置代理,JSONP,Nginx反向代理,Webpack配置代理,postMessage,修改浏览器设置等。其中,CORS和代理是比较常用的,尤其是开发环境下,前端代理很常见。 需要详细说明每种方法的适用场景和具体实现步骤,比如CORS需要后端设置响应头,前端代理则是在开发服务器中配置,避免直接请求后端地址导致。 还要注意安全性问题,比如CORS中不要滥用Access-Control-Allow-Origin为*,生产环境应该指定具体名。Nginx配置反向代理时也要注意路径匹配和头信息传递。 另外,用户可能需要代码示例,比如如何在Express中设置CORS,Vue的vue.config.js怎么配代理,或者Nginx的配置片段。JSONP的例子虽然现在用的少,但可能某些旧项目还在用,也需要提及。 可能需要区分开发环境和生产环境的解决方案,开发时用代理,生产用Nginx或者后端处理。同时,提醒用户JSONP只支持GET请求,其他方法有局限性。 还要考虑用户的技术栈,比如他们之前用Vue3和ECharts,可能更熟悉Vue的代理配置,所以提供vue.config.js的例子会更实用。 总结下来,回答的结构应该是先解释原因,再列出各种解决方案,每种方案给出适用场景、实现步骤和代码示例。最后给出最佳实践建议,帮助用户根据具体情况选择合适的方法。</think>以下是前端问题的完整解决方案及代码实现指南,结合不同开发场景提供多种解决方式: --- ### 一、本质解析 **同源策略限制**:当协议、名、端口任一不同时触发拦截 **典型错误**:`Access-Control-Allow-Origin`缺失导致的`No 'Access-Control-Allow-Origin'`错误 --- ### 二、解决方案分类 #### 1. 后端协作方案 **(1) CORS资源共享** ```javascript // Node.js Express示例 app.use((req, res, next) => { res.header("Access-Control-Allow-Origin", "http://localhost:8080") // 精确白名单 res.header("Access-Control-Allow-Methods", "GET,POST,PUT,DELETE,OPTIONS") res.header("Access-Control-Allow-Headers", "Content-Type,Authorization") res.header("Access-Control-Allow-Credentials", "true") // 允许携带cookie req.method === 'OPTIONS' ? res.sendStatus(200) : next() }) ``` **(2) Nginx反向代理** ```nginx # nginx.conf配置片段 server { listen 80; server_name api.yourdomain.com; location / { proxy_pass http://localhost:3000; # 后端真实地址 add_header Access-Control-Allow-Origin $http_origin; add_header Access-Control-Allow-Methods *; add_header Access-Control-Allow-Headers *; if ($request_method = 'OPTIONS') { return 204; } } } ``` --- #### 2. 纯前端方案 **(1) 开发环境代理(Webpack/Vite)** ```javascript // vue.config.js module.exports = { devServer: { proxy: { '/api': { target: 'http://backend-service:3000', changeOrigin: true, pathRewrite: { '^/api': '' } } } } } ``` **(2) JSONP(仅限GET请求)** ```javascript function jsonp(url, callback) { const script = document.createElement('script') script.src = `${url}?callback=${callback}` document.body.appendChild(script) } // 全局定义回调函数 window.handleResponse = (data) => { console.log('Received:', data) } // 调用示例 jsonp('http://api.example.com/data', 'handleResponse') ``` **(3) postMessage窗口通信** ```javascript // 子窗口发送消息 window.parent.postMessage({ type: 'data', content: 'payload' }, 'http://parent-domain.com') // 主窗口监听 window.addEventListener('message', (event) => { if (event.origin !== 'http://child-domain.com') return console.log('Received:', event.data) }) ``` --- ### 三、特殊场景解决方案 #### 1. WebSocket ```javascript const ws = new WebSocket('ws://socket-server.com') // 协议升级自动 ws.onopen = () => { ws.send('Connection established') } ``` #### 2. 图片资源 ```html <img crossorigin="anonymous" src="http://external.com/image.jpg"> <!-- 需配合服务端设置Access-Control-Allow-Origin --> ``` #### 3. 本地文件协议 ```bash # Chrome启动参数(开发测试用) chrome.exe --disable-web-security --user-data-dir="C:/temp" ``` --- ### 四、安全增强措施 1. **CORS白名单控制** ```javascript const allowOrigins = ['https://your-domain.com', 'http://localhost:8080'] app.use((req, res, next) => { const origin = req.headers.origin if (allowOrigins.includes(origin)) { res.setHeader('Access-Control-Allow-Origin', origin) } // ...其他配置 }) ``` 2. **CSRF Token验证** ```javascript // 前端在每个请求头携带token axios.interceptors.request.use(config => { config.headers['X-CSRF-Token'] = getCookie('csrfToken') return config }) ``` --- ### 五、最佳实践建议 1. **开发环境**:优先使用Webpack/Vite代理 2. **生产环境**: - 部署同服务 - 必须使用Nginx反向代理+CORS 3. **敏感接口**: - 添加`Access-Control-Allow-Credentials: true` - 配合SameSite Cookie策略 4. **移动端Hybrid开发**: - 使用WebView自定义协议拦截 - 或通过Native Bridge中转请求 --- ### 六、调试工具验证 ```javascript // 使用fetch测试CORS配置 fetch('http://api.example.com/data', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ test: 1 }) }) .then(response => response.json()) .then(data => console.log(data)) .catch(error => console.error('CORS Error:', error)) ``` --- **方案选择决策树**: 1. 是否控制后端 → 是:CORS/Nginx 2. 仅前端控制 → 开发用代理,生产用JSONP/postMessage 3. 需要双向通信 → WebSocket 4. 旧系统兼容 → JSONP 通过合理组合这些方案,可以解决99%的前端问题,建议优先采用标准化的CORS方案+反向代理模式。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值