解决跨域下Cookie的SameSite问题(使用Nginx)

最新推荐文章于 2025-10-08 06:25:15 发布
原创 最新推荐文章于 2025-10-08 06:25:15 发布 · 3.2w 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

简介

  Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,且发现包括360、搜狗当前版本浏览器不兼容SameSite属性导致在加入SameSite后无法传递cookie,所以本文提出一套使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。

使用Nginx的proxy_cookie_path功能

proxy_cookie_path功能说明:

Sets a text that should be changed in the path attribute of the “Set-Cookie” header fields of a proxied server response. Suppose a proxied server returned the “Set-Cookie” header field with the attribute “path=/two/some/uri/”. The directive
proxy_cookie_path /two/ /;
will rewrite this attribute to “path=/some/uri/”.

具体配置方法(在location节点下加入,配置后重载Nginx):
  如果站点Cookie所在目录在根目录/下,设置如下:
    proxy_cookie_path / “/; secure; SameSite=None”;
  如果站点Cookie所在目录在abc目录下,设置如下:
    proxy_cookie_path /abc/ “/abc/; secure; SameSite=None”;
  如果无法确定站点Cookie目录,可使用Chrome开发者工具,监测Network下网络请求,找到Response Headers中set-cookie属性值,该值中有path属性值即为Cookie目录,也即上文要替换的/或者/abc/值。

旧浏览器不兼容SameSite问题

  笔者在通过使用proxy_cookie_path后发现一些国产浏览器比如360、搜狗浏览器不兼容SameSite属性,cookie直接无法正常传递了,通过浏览器UA判断其使用的chrome内核为较旧版本,为了兼容这些浏览器,这里需要判断UA来实施proxy_cookie_path命令,具体操作方法:
  首先,为了让nginx能判断UA中的chrome版本,笔者采用了Nginx支持的njs脚本,编译Nginx支持njs的方法:
    http://nginx.org/en/docs/http/ngx_http_js_module.html
  然后,编写njs脚本,文件可以命名为ua.js:

function getChromeVersion(r) {
	var ua = r.headersIn["user-agent"];
	if(ua){
		var flag = /Chrome\/([0-9]+)/.exec(ua);
		if(flag && flag.length > 1){
			return flag[1];
		}
	}
	return -1;
}
function getCookiePathMagicFlag(r) {
	var version = getChromeVersion(r);
	if(version != -1 && version < 79){
		return "-evil"; 
	}
	return "";
}

  这里将ua.js文件放到nginx.conf同目录下,在nginx.conf 的 http节点下加入两行:
    js_include ua.js;
    js_set $cookiePathMagicFlag getCookiePathMagicFlag;
  (这里$cookiePathMagicFlag是一个标识符,可以根据这个标识符来决定是否执行proxy_cookie_path的替换,也避免了使用nginx的if。)
  最后将上文中的proxy_cookie_path命令语句改为:
    proxy_cookie_path /$cookiePathMagicFlag “/; secure; SameSite=None”;
    或者
    proxy_cookie_path /abc/$cookiePathMagicFlag “/abc/; secure; SameSite=None”;

总结

  笔者通过以上配置,测试了包括360、搜狗、火狐、IE、chrome浏览器都可以正常传递cookie了。截至最后测试,360、搜狗最新版本(用了旧的chrome内核)依然未兼容SameSite属性。

tmyth
关注
Nginx设置HttpOnly Secure SameSite参数 解决Cookie信息丢失
m0_74825152的博客
12-03 1391
当然,前提是用户浏览器支持 SameSite 属性。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。浏览器F12 在网络下查看当前状态,SameSite属性缺失,我们需要通过配置nginxSameSite属性设置为Strict或者 Lax。在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问。
解决内嵌帆软报表出现重定向问题
lgq2016的博客
02-26 2546
问题1: 如下图所示,单点登录(单点登录地址schema是https)后service地址的schema协议是http, 浏览器内核的安全测试不允许http访问https。具体原因如下图所述,主要是站时chmore浏览器(80版本之后)默认不允许携带cookie(即第三方cookie)造成的。需要注意的是,对于帆软报表,proxy_cookie_path不能增加 httponly, 否则会报下图所示错误。解决方案:如下图所示,在前端代码中加入下面代码,目的是将浏览器发出的http请求改造为https。
彻底解决CSRF攻击:js-cookie SameSite属性实战指南
gitblog_00924的博客
10-08 601
你是否曾遇到用户投诉登录状态频繁失效?是否担心过站请求伪造(CSRF)攻击风险?作为前端开发者,处理浏览器Cookie时稍不注意就可能埋下安全隐患。本文将通过js-cookie库的SameSite属性应用,带你构建更安全的Cookie策略,有效防御站请求攻击,同时保持良好的用户体验。读完本文你将掌握:SameSite属性的三种模式应用、站请求保护的最佳实践、常见兼容性问题解决方案。 ## ...
深入理解nginx的userid模块[上]
一个致力于开源代码学习、分析和交流的博客
04-11 1290
nginx 是一个高性能的开源 Web 服务器,它提供了丰富的功能和模块,使得它成为许多网站和应用程序的首选。其中一有个userid的模块,它允许开发人员通过在请求中添加用户标识符(User ID)来实现用户跟踪、行为分析和个性化服务。本文将深入理解 nginx 的 userid 模块,首先简要介绍其实现原理和使用配置方法、应用场景,最后将从源码层面对本模块的实现原理进行深入的剖析。
Nginx新增SameSite属性的cookie
pocher的博客
06-13 3921
Nginx新增SameSite属性的cookie
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie站点请求伪造
qq_43613949的博客
06-19 3400
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie站点请求伪造@
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
ilqgffvramusm2864的博客
05-22 2万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie的安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie中设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
【浏览器安全策略】Chrome 83+Cookie配置调整:SameSite默认策略禁用方案解决登录失效问题
最新发布
10-24
使用场景及目标:①解决Chrome 80+版本中因SameSite策略导致的Cookie无法发送问题;②在本地开发或测试环境中临时绕过SameSite限制,保障前后端联调顺利进行;③帮助开发者理解浏览器Cookie安全策略的演进及其对...
利用nginx解决cookie访问的方法
09-30
在处理Web应用中的问题时,特别是涉及到Cookie共享时,Nginx作为高性能的HTTP和反向代理服务器,能够通过配置帮助解决相关难题。当项目需要迁移到新的服务器环境中,特别是从有名的环境迁移到只有IP地址的环境...
记一次通过Nginx解决Cookie问题的实现过程
asdasdsaff的博客
10-10 828
记一次通过Nginx解决Cookie问题的实现过程。分析Grafana鉴权逻辑,可通过后端模拟登录获取grafana_session,然后设置Cookie的方式实现免登录跳转。在本地使用Springboot编写了获取授权重定向方法后,跳转并不成功,会进入登录页面,没有实现免登录跳转。通过浏览器查询重定向至Grafana页面的请求状态码为302 Found,grafana_session授权信息也没有成功设置到Cookie中。
Nginx + 无法设置 Cookie 解决办法
日出等日落
09-17 1687
使用Nginx解决服务器上线问题
谷歌浏览器新版本Chrome 80默认SameSite导致登录状态失效的问题
热门推荐
随风丶逆风的博客
03-13 4万+
大概新年新气象吧,大家复工之后都追求一个“新”,不少用户升级到了Chrome 80,然后发现登入成功之后总是重定向回统一登录页,然后头秃的我感觉头上更凉了。 定位问题 生产环境出了问题,肯定得赶紧寻找问题根源啊。(三步走路子) 第一步,最先以为cookie失效的问题,于是远程用户,发现浏览器cookie设置正常,名下cookie也有值,但就是带不过去后台,于是开始怀疑出了问题。 第二步,遂...
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie丢失
ztnhnr的专栏
11-02 2万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
Nginx配置解决Chrome浏览器SameSite问题
shijin741231的博客
08-31 6679
Nginx配置解决Chrome浏览器SameSite问题 最近联调接口,反复遇到chrome问题,本来解决也很顺畅,结果突然有一个客户非要使用chrome 63的版本。。。。。。我折腾半天也没太好的办法,只能通过nginx去识别chrome浏览器版本决定返回cookie值来解决。 参考链接: 参考链接: Chrome修改了cookie安全策略. 参考链接: 通过Nginx设置HttpOnly Secure SameSite参数解决Cookie丢失. 参考链接: 关于IE下面iframe co
Nginx 解决具有不安全、不正确或缺少 SameSite 属性的 Cookie方案
王小工小工历程
03-26 2917
若后端已设置Cookie属性,Nginx的proxy_cookie_path会完全覆盖原有设置,而proxy_cookie_flags可增量修改‌18。proxy_cookie_flags仅支持Nginx 1.19.3及以上版本,低版本需改用proxy_cookie_path‌。当设置Secure属性或SameSite=None时,必须部署有效的HTTPS证书,否则浏览器会拦截Cookie。注:生产环境修改前建议在测试环境验证,避免因配置错误导致会话异常‌。此配置会覆盖后端返回的Cookie属性‌。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
nginx配置之proxy_cookie_path
weixin_45693244的博客
03-05 4176
nginx通过proxy_pass反向代理cookie、session丢失的问题cookie 的 path 与地址栏上的 path 不一致, 浏览器就不会接受这个 cookie, 无法传入。如果cookie的path与地址栏上的path不相符游览器就不会接受这个cookie,那每次请求都会重新生成cookiecookie中存放这sessionId,自然。配置的nginx:将响应给客户端的set-cookie 由 /smartbi 改成 /cms/scSmartbi/;
漏洞修复:Cookie Security: Overly Permissive SameSite Attribute
CutelittleBo的博客
02-07 4136
描述 The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). Session cookies represent a user to the site to allow user to perform authorized actions. However, the browser automatically sends the cookies and therefore
nginx samesite设置
09-30
<think>我们正在讨论的是如何在Nginx中配置SameSite属性。根据引用内容,主要使用`proxy_cookie_path`指令来设置。同时,引用[4]中还提到了针对不同浏览器版本(特别是Chrome)的兼容性处理,使用map模块来动态设置SameSite属性。 以下是步骤: 1. **基本配置(固定SameSite值)**:在Nginx的配置文件中,可以在`location`块内使用`proxy_cookie_path`指令来设置SameSite属性。例如: - 设置SameSite为Lax: ```nginx proxy_cookie_path / "/; httponly; secure; SameSite=Lax"; ``` - 设置SameSite为None(必须同时设置Secure): ```nginx proxy_cookie_path / "/; httponly; secure; SameSite=None"; ``` 2. **针对不同浏览器动态设置(高级配置)**:为了兼容那些不支持SameSite=None的旧版浏览器(如Chrome 63),可以使用Nginx的map模块根据User-Agent动态设置SameSite属性。如引用[4]所示: - 在http块中定义map,将匹配特定Chrome版本的User-Agent映射到包含SameSite=None的字符串,其他则映射到默认值(不带SameSite属性或使用Lax)。 - 然后在location块中引用这个变量。 具体配置如下: ```nginx http { # 定义map,匹配Chrome 8x, 9x, 10x, 11x等(即Chrome 80以上版本) map $http_user_agent $samesite_attr { "~*chrome/(8[0-9]|9[0-9]|10[0-9]|11[0])" '/; httponly; secure; SameSite=None'; default '/; httponly; secure; SameSite=Lax'; # 或者默认使用Lax # 注意:旧版浏览器可能不支持SameSite=None,所以这里对非匹配的浏览器使用Lax } server { location / { # ... 其他配置 proxy_cookie_path / "$samesite_attr"; # 注意:如引用[4]所述,为了解决IE问题,可能需要设置P3P头 add_header P3P 'CAO PSA OUR'; } } } ``` 注意:上述正则表达式匹配Chrome 80到110版本(根据引用[4]),对于这些版本设置SameSite=None,其他浏览器默认使用SameSite=Lax。 3. **注意事项**: - 当设置SameSite=None时,必须同时设置Secure,即cookie只能通过HTTPS传输。因此,确保你的站点启用了HTTPS。 - 对于IE浏览器,可能还需要设置P3P头(如引用[4]所示)来解决cookie问题。 4. **验证配置**: - 重新加载Nginx配置:`nginx -s reload` - 使用浏览器开发者工具查看响应头中的Set-Cookie头,确认SameSite属性是否按预期设置。 5. **其他说明**: - 如果你的应用通过Nginx反向代理,且后端应用已经设置了SameSite属性,那么Nginx的配置可能会覆盖后端的设置(取决于配置顺序)。因此,最好统一在Nginx中设置。 - 如果后端应用设置的cookie路径不是根路径(/),那么需要调整`proxy_cookie_path`的第一个参数(源路径)和第二个参数(目标路径)以匹配。 因此,回答用户的问题:在Nginx中配置SameSite属性,主要使用`proxy_cookie_path`指令,并可以通过map模块实现针对不同浏览器的动态设置。 </think>要在Nginx中配置CookieSameSite属性,可通过以下步骤实现。配置的核心是使用`proxy_cookie_path`指令,这是Nginx处理反向代理时修改Set-Cookie头部的关键指令。 ### 一、基础SameSite配置方法 在nginx.conf的`location`或`server`块中添加以下指令: ```nginx # 设置SameSite=Lax(推荐默认值) proxy_cookie_path / "/; httponly; secure; SameSite=Lax"; # 或设置SameSite=None(需站传递cookie时) proxy_cookie_path / "/; httponly; secure; SameSite=None"; ``` **参数说明**: 1. `httponly`:阻止JavaScript访问cookie 2. `secure`:强制HTTPS传输(SameSite=None时必须启用[^2][^3]) 3. `SameSite=Lax/None`:控制站行为 4. 路径`/`表示应用到所有cookie ### 二、浏览器兼容性处理 针对不同浏览器版本(如旧版Chrome不兼容SameSite),使用`map`模块动态设置: ```nginx http { # 定义浏览器版本映射 map $http_user_agent $samesite_attr { "~*chrome/(8[0-9]|9[0-9])" '/; httponly; secure; SameSite=None'; # Chrome 80+ default '/; httponly; secure; SameSite=Lax'; # 其他浏览器 } server { location / { # 应用动态配置 proxy_cookie_path / "$samesite_attr"; # IE浏览器特殊处理 add_header P3P 'CAO PSA OUR'; } } } ``` **正则解释**:`chrome/(8[0-9]|9[0-9])`匹配Chrome 80-99版本 ### 三、关键注意事项 1. **HTTPS强制要求** 设置`SameSite=None`时必须启用`secure`,否则浏览器会忽略该属性[^3] ```nginx # 错误配置(缺少secure) proxy_cookie_path / "/; SameSite=None"; # 正确配置 proxy_cookie_path / "/; secure; SameSite=None"; ``` 2. **路径匹配规则** 若后端设置的cookie有特定路径(如`/api`),需精确匹配: ```nginx # 只修改/api路径下的cookie proxy_cookie_path /api/ "/api/; secure; SameSite=None"; ``` 3. **配置验证步骤**: ```bash nginx -t # 检查配置语法 nginx -s reload # 重载配置 ``` 通过浏览器开发者工具查看响应头: ``` Set-Cookie: session=abc123; Path=/; Secure; HttpOnly; SameSite=None ``` ### 四、典型场景配置方案 | 场景 | 配置方案 | 适用条件 | |------|----------|----------| | 第三方嵌入资源 | `SameSite=None; Secure` | iframe加载资源[^3] | | 用户登录会话 | `SameSite=Lax` | 防止CSRF攻击 | | 兼容旧浏览器 | 动态`map`配置 | 支持Chrome 63+等[^4] | > **最佳实践**:除非明确需要站传递cookie(如广告跟踪),否则建议使用`SameSite=Lax`作为默认值,这是现代浏览器的安全默认设置[^1][^2]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值