IdentityServer与Cookie的Samesite

最新推荐文章于 2024-03-12 12:37:34 发布
最新推荐文章于 2024-03-12 12:37:34 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: .Net Core
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46295080/article/details/109408034
版权
在使用IdentityServer时遇到Chrome浏览器登录失败,原因是Chrome要求'SameSite=None'的Cookie必须通过HTTPS设置。解决方案包括切换到HTTPS或在非HTTPS环境中修改Cookie设置,使其在非安全连接下不使用'SameSite=None'属性。了解'SameSite'的严格、宽松和无模式,以及IdentityServer为何选择无模式来确保跨域Cookie传递。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在使用IdentityServer的时候碰到谷歌浏览器无法登录的问题,查看网络发现如下错误提示:

The Set-Cookie was blocked because it had the “SameSite=None” attribute but did not have the secure attribute, which is required in order to use “SameSite=None”

原因是因为IdentityServer在写Cookie的时候使用的是SameSite=None属性,但是谷歌浏览器(大概是从版本80几开始)要求必须是HTTPS才能使用该属性,所以如果使用的是非HTTPS连接,那么就会碰到无法登录的问题。

当然最简单的解决办法就是使用HTTPS,毕竟IdentityServer是用来做认证的,理应使用更安全的HTTPS连接。

但是有些特殊情况,比如局域网内用IP地址访问的时候,应该怎么办呢?

其实我们可以通过修改Cookie的写入决策,在非HTTPS连接的时候移除SameSite属性即可。

修改Startup文件如下:

private const SameSiteMode Unspecified = (SameSiteMode)(-1);

public void ConfigureServices(IServiceCollection services)
{
    //配置Cookie决策
    services.Configure<CookiePolicyOptions>(options =>
    {
        options.MinimumSameSitePolicy = Unspecified;
        options.OnAppendCookie = cookieContext =>
            SetSameSite(cookieContext.Context,cookieContext.CookieOptions);
        options.OnDeleteCookie = cookieContext =>
            SetSameSite(cookieContext.Context, cookieContext.CookieOptions);
    });

    //other service
}

public void SetSameSite(HttpContext httpContext, CookieOptions options)
{
    if (options.SameSite == SameSiteMode.None)
    {
        //检测如果不是HTTPS,则移除SameSite属性
        if (httpContext.Request.Scheme != "https")
        {
            //设置为Unspecified,则不会添加SameSite属性
            options.SameSite = Unspecified;
        }
    }
}


public void Configure(IApplicationBuilder app)
{
    if (Environment.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }

    //使用Cookie决策
    app.UseCookiePolicy();
    
    //other middleware
}

关于SameSite,我们可以在Mozilla找到相关定义:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

这里也有篇很好的解释:
https://web.dev/samesite-cookies-explained/

简单点讲,她主要用来在请求URL的时候,控制浏览器是否接受和发送cookie, 有三个属性值:

  • Strict: 最严格模式,只有请求的地址和浏览器的地址在同一个域名的时候,才会接受和发送Cookie。
  • Lax:宽松模式,同一个域名会接受和发送,如果不在同一个域名,但是请求的地址为GET请求时,也会接受和发送Cookie,其他请求(POST,IFrame,Ajax,Image等)不会接受和发送cookie。
  • None:始终接受和发送Cookie,但是对于谷歌浏览器来说,要求必须是HTTPS连接(估计以后其他浏览器也会跟进)。

IdentityServer为什么会使用None而不使用更为严格的Strict,Lax模式呢?

回顾前几篇关于Blazor与IdentityServer集成的例子

登录成功之后,我们查看Blazor页面的源代码,会看到如下iframe:

在这里插入图片描述

这是属于IdentityServer的地址,用来检查用户是否在线,显然她是需要发送Cookie的,所以只能使用SameSite=None。

只有当cookie设置为“samesite=none”和“secure”时_Web 前端新手应该了解的Cookie知识...
weixin_39860732的博客
11-28 7730
正在学习web前端的朋友对Cookie应该不陌生,Cookie是辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据,是web前端中比较重要的知识点。今天小编就为大家带来了这篇文章,让我们一起来看一看Web 前端新手应该了解的Cookie知识。一、Cookie的出现浏览器和服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的...
ABP的IdentityServer4采用Http时在谷歌最新浏览器登录后不跳转
dacong的专栏
03-07 1086
ABP的IdentityServer4采用Http时在谷歌最新浏览器登录后不跳转 错误日志: The cookie 'XSRF-TOKEN' has set 'SameSite=None' and must also set 'Secure' 解决方案: 修改IdentityServer网站项目 public void SetSameSite(HttpContext httpContext, CookieOptions options) { if (options.Sa...
IdentityServer4 突然登录就不香了?SameSite
marcushbs的博客
03-20 281
链接地址:https://web.dev/samesite-cookies-explained/ https://blog.chromium.org/2019/10/developers-get-ready-for-new.html https://docs.microsoft.com/en-us/aspnet/core/security/samesite?view=aspnetcore-3.1 自己的一个使用了IdentityServer4 的单点登录demo项目,突然就登录不好使了,一直在登录页,..
IdentityServer4 解决oidc自定义Claim无法添加到Cookie的问题
MDZZ666的博客
09-04 2695
前言 此文章是用来记录我遇到问题时,其解决方法、个人想法,如果有误,希望可以指出。 问题 本人在学习IdentityServer4文档中的oidc(使用OpenID Connect添加身份验证)的时候,账号密码验证完了之后,想要向Cookie添加自定义的Claim的时候,却发现添加不了(客户端没有看到我自定义的Claim)。 //这里只展示自定义Claim添加Cookie相关得代码 //自定义...
chrom后端设置cookie失败跨域问题报错the set-cookie had to have been set with “sameSite=None“ to enable cross-si
weixin_41791737的博客
08-06 5195
vue项目运行登录后,后端设置了cookie;但是我是本地起得项目所以现在一直报错登录过期问题; 一、后端设置的set-cookie黄色警告报错 the set-cookie had to have been set with “sameSite=None” to enable cross-site usage Samesite有三个值,None, Lax,Strict.这个参数是防止跨站攻击用的,因为测试环境,所以最方便就是跨站调试了。 刚开始设置cookie 的Domain无效 后来经过一番翻云
研究IdentityServer4遇到天坑signin-oidc报错
wymanzhang的博客
08-25 1868
真是天坑啊!! 研究IdentityServer4的code模式时,用360极速浏览器没问题,可以正常登录跳转回client网站,换到Chrome浏览器后,报错啦!!! 查了一下,原来是因为Chrome浏览器的Cookie策略SameSite属性造成的,用来防止 CSRF 攻击和用户追踪。由于是做企业内部应用,把该属性设置为none即可解决报错问题。 天坑是,必须满足两个条件才不会报错: 1-客户端站点一定要是https的! 2-SameSite 属性设置为None 代码就不上了,参考网络上的大神写的吧。
IdentityServer4之Authorization Code(授权码)相对更安全
zyq025的专栏
02-22 1022
前言 接着授权模式聊,这次说说Authorization Code(授权码)模式,熟悉的微博接入、微信接入、QQ接入都是这种方式(这里说的是oauth2.0的授权码模式),从用户体验上来看,交互方式和Implicit没啥改变,随便找个网站瞅瞅,如慕课网(很不错的学习网站)的登录流程,见下图: 但其实在代码流程上是不太一样的,接下来边撸(我说的是敲代码)边聊。 正文 Authorization Code(授权码)模式比Implicit多了一个授权码的流程,即用户认证成功之后,授权服务器..
实现OIDC示例:从GitHub动作到Docker部署
通过访问chrome://flags/#same-site-by-default-cookies,可以禁用Chrome的新SameSite cookie默认值进行测试,这是因为从Chrome 80版本开始,默认启用了SameSite cookie特性,该特性可能会影响某些Web应用的正常运行...
【ASP.NET Core登录注册新体验】:单点登录移动端适配全攻略
!... # 摘要 本文对ASP.NET Core环境下身份认证的基础知识、单点登录(SSO)机制的实现、移动端适配技术以及用户界面(UI)的移动端优化进行了深入探讨。首先介绍了单点登录的理论基础和常见的标准,然后展示了如何在ASP...
【ASP.NET用户认证全流程】:从加密到令牌,确保登录安全无漏洞
!... # 摘要 本论文系统地探讨了ASP.NET用户认证的基础知识、加密...进一步地,本研究着重介绍了令牌机制的类型选择、生成分发流程、存储安全保护措施,并提出了构建安全认证流程的策略。最后,论文详细阐述了认证流程
asp.net core session无法获取问题解决方案
一根火柴博客
12-21 2224
在使用asp.net core 的session存取验证码时,发现后面获取不到,参考别的把services.Configure<CookiePolicyOptions>注释掉就可以了,cnm microsoft。microsoft经常变,无语!!! https://blog.youkuaiyun.com/yenange/article/details/80954802 using Syste...
Uni-app微信小程序跨域set-cookie
weixin_41950689的博客
11-07 2912
This Set-Cookie was blocked because it had the "SameSite=Lax" attribute but come from a cross-site response which was not the response to a top-level navigation
[Web]This Set-Cookie was blocked because it had the “Secureattribute
Balmunc的专栏
10-25 3441
1、问题重现 微信开发者工具无法设置cookie,出现如下报错: This Set-Cookie was blocked because it had the "Secure" attribute but was not received over a secure connection. GoogleChrome无法设置cookie,出现如下报错: This attempt to set a cookie via a Set-Cookie header was blocked bec...
CookieSameSite 属性
日积月累的博客
11-22 7385
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
前后端分离跨域大坑,赶紧run!!!!
code_xiaotian的博客
03-03 1631
前后端分离之大坑坑!vue3携带cookie却无法将cookie种到浏览器上吗,别犹豫,快来看看!!!
前后端分离部署情况下,cookie失效问题之chrome浏览器SameSite问题
z974251478的博客
04-20 3082
项目基于前后端分离部署,其中会涉及跨域及会话问题,项目对跨域使用cors解决,对会话不一致问题使用了redis解决。这次遇到的问题是基于chrome浏览器SameSite出现的cookie失效。
This Set-Cookie was blocked because …… cookie无法写入的问题解决
最新发布
qq_44761854的博客
03-12 980
代码调试了半天都没发现什么异常,最后追踪发现登陆完跳回来session都丢了,然后再检查,发现登录接口返回的Set-Cookie指令,在浏览器上没有写入成功。最后查明原因,当HTTPS下有了一个Cookie后,再想在同域名的HTTP站点下写入Cookie就会失败,解决办法就是删除HTTPS站点下的Cookie。因为某种原因,浏览器以HTTPS请求了不支持HTTPS的一个站点,然后删掉地址栏中的S,访问HTTP站点,尝试登录,表现的结果为登录完又回到登录页。
Chrome浏览器中接口set-cookie未加SameSite=None导致cookie设置失效,无法登录
热门推荐
onlyliii的博客
08-28 1万+
方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=value; Secure 方法二:使用Chrome浏览器打开 chrome://flags/#same-site-by-default-cookies 把SameSite by default cookies设置为disabled,重启浏览器即可正常使用 参考资料:https://www.zhihu.com/question/373011...
谷歌浏览器Chrome 80后 默认SameSite导致跨域登录状态失效的问题
青尘醉博客
03-18 1595
解决方案借鉴于: https://blog.youkuaiyun.com/sinat_36521655/article/details/104844667 nginx配置 https请求 listen 8999 default ssl; server_name localhost; # 证书(公钥.发送到客户端的) ssl_certificate server.crt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值