Chrome 80 中 Iframe 跨域传 Cookie 的 Samesite 问题
咱们知道,经过设置Access-Control-Allow-Credentials: true和xhr.withCredentials = true,能够实现跨域传递Cookie. 达到保存用户登陆态等目的。但使用不当,也会有CSRF风险。
因此,从Chrome 51开始,浏览器的Cookie新增长了一个SameSite属性,用来防止CSRF攻击和用户追踪。
该设置当前默认是关闭的,但在Chrome 80以后,该功能默认已开启。
因此当你没法使用某些网站第三方登陆功能的时候,请查看一下是否受到了该设置的影响。html
- 对于使用者,快速解决方案:
方案1. 打开
Chrome设置,将chrome://flags/#same-site-by-default-cookies禁用,而后重启浏览器。
方案2. 使用低版本浏览器,可选择极速360。chrome - 对于开发者,解决方案:
方案1. 将
SameSite属性值改成None, 同时 将secure属性设置为true。且须要将后端服务域名必须使用https协议访问。
方案2. 因为设置SameSite = None,有SCRF风险,因此,最佳方案是用token代替Cookie方式做验证。后端
相关文章
- 1. Chrome 80跨域cookie无法携带
- 2. Chrome 80 跨域名登录失效的问题
- 3. Chrome80以上版本,跨域Cookie的SameSite问题
- 4. COOKIE跨域获取问题
- 5. 新版chrome跨域问题:cookie之SameSite属性
- 6. 关于 chrome 80 后出现的 SameSite 问题
- 7. chrome浏览器跨域Cookie的SameSite问题致使访问iframe内嵌页面异常
- 8. 当跨域遇到Cookie与SameSite
- 9. Cookie跨域问题
- 10. 新版本chrome浏览器带来的跨域请求cookie丢失问题
- 更多相关文章...
- • Spring中Bean的作用域 - Spring教程
- • PHP Cookie - PHP教程
- • PHP Ajax 跨域问题最佳解决方案
- • IntelliJ IDEA中SpringBoot properties文件不能自动提示问题解决
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章