在使用谷歌时发现一个诡异问题cookie传不过去

查找相关资料发现这是谷歌的一个新属性SameSite导致的,

SameSite 属性

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

Strict
Lax
None
2.1 Strict
Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2.2 Lax
Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;
导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型 示例 正常情况 Lax
链接 发送 Cookie 发送 Cookie
预加载 发送 Cookie 发送 Cookie
GET 表单 发送 Cookie 发送 Cookie
POST 表单 发送 Cookie 不发送
iframe 发送 Cookie 不发送
AJAX $.get("…") 发送 Cookie 不发送
Image < img src="…"> 发送 Cookie 不发送

设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

2.3 None
Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None
下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

解决方法

第一种。设置 response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”)后,使用https传输cookie。(我没有用过)
第二种。看到其中的一条解决方案: 禁用chrome samesite。方法如下:

在chrome中打开链接: chrome://flags/#site-isolation-trial-opt-out,搜索samesite

2.将上述三个选项禁用(设为disable)后重启chrome,问题解决。

在使用谷歌时发现一个诡异问题cookie传不过去相关推荐

  1. php fwrite 数组,浅析php fwrite写入txt文件的时...-发现一个诡异的bug,不知何解...-php折线图 布局图 - 侯志凯_169IT.COM...

    本页文章导读: ▪浅析php fwrite写入txt文件的时候用 \r\n不能换行的问题 - 一觉睡到天黑黑      以下是对php中fwrite写入txt文件的时候用 \r\n不能换行的问题进行了 ...

  2. 案例分析---我是如何在谷歌财经发现一个XSS漏洞

    我是如何在谷歌财经发现一个XSS漏洞 本文由 伯乐在线 -伯乐在线读者 翻译自Michele Spagnuolo.转载请参见文章末尾处的要求. 导读:我们在6月13日发了一篇资讯,说"Goo ...

  3. 我在谷歌实习时发现了一个模型 bug,于是有了这篇 ACL

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 文 | AlbertYang 编 | 小轶 表格的自动理解与检索已经成为 NLP 以及 ...

  4. 华为笔试时发现golang ACM模式输入的一个坑

    华为笔试时发现golang ACM模式输入的一个坑 golang ACM模式常用输入方法(scan,bufio):https://zhuanlan.zhihu.com/p/551393704 问题 第 ...

  5. input仅输入数字且不会偷偷带小尾巴(input里没有,等取值时发现多了一个最后点击的英文字母☺️)

    <input class="num_input" type='number' pattern="[0-9]*"/> 优点是不会在取值时发现最后点击的 ...

  6. windows2008r2补丁_我偶然发现一个严重 0day,影响 Win7 和 Server 2008 R2,微软未发补丁(详情)...

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 法国安全研究员 Clément Labro在更新一款 Windows 安全工具时,偶然发现一个影响 Windows 7 和 Windo ...

  7. Struts2一个诡异问题的解决

    项目中使用Struts2..像很多问题一样,刚开始出现的时候,觉得很诡异,难以入手:解决掉之后,就知道其实很简单了. 前几天遇到一个问题,在某Action类中定义了一个名为success的字符串变量, ...

  8. 最近自己安装CDH5.X版本时发现,CM包和parcels包无法下载了。

    最近自己安装CDH5.X版本时发现,CM包和parcels包无法下载了.登录Cloudera官方发现需要订阅,官网: 早在之前就听说cloudera manager 6.3.3和 CDH 6.3.3以 ...

  9. 发现一个多地区 ping 网址的工具,岂止一个“牛”字了得

    今天在写这篇博客时发现了一个特牛逼的工具:http://ping.chinaz.com 在工具主页对工具用处的描述: 通过该工具可以多个地点 Ping 服务器以检测服务器响应速度. 我们知道,可以通过 ...

最新文章

  1. MySQL5.5复制新特性
  2. linux 子系统 巡检,Linux 系统巡检
  3. 第二课 壳的介绍以及脱壳常用思路
  4. (轉貼) Jolt 2007得獎名單 (News) (.NET)
  5. codis配置_codis 源码理解
  6. DEV控件Grid显示行号
  7. Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE
  8. SGU 327 Yet Another Palindrome(状态压缩DP)
  9. 笔记本电脑如何保养_电脑温度一高就“翻脸”,电脑小白该如何解决?学会少花冤枉钱...
  10. Hibernate最全面试题
  11. Android MD5加密
  12. oracle普通索引改唯一索引,Oracle唯一索引功能替代
  13. BOS Studio(金蝶BOS)的简单介绍
  14. 9、【办公自动化】Python实现Word文件的批量操作
  15. 【祝贺】绍兴市首个爱心助残协会(慈善组织)成立
  16. Codevs3008 加工生产调度
  17. JavaScript-深浅拷贝
  18. 成都市2021年高考三诊成绩查询,2020年成都各校高三“三诊”成绩一览表
  19. TPshop项目-功能测试(4)
  20. python 数学期望_数学期望

热门文章

  1. ubuntu的应用商店打不开,闪退
  2. 厦大C在线实验题3 分数约简
  3. android多看阅读打不开pdf,请收藏!这是一份最全的PDF问题解决方案
  4. 案例3 淘宝点击关闭二维码
  5. 计算机表格数字怎么,电脑怎么在表格里填字-在EXCEL中数字怎么输入到方框□内??...
  6. 百兆以太网传输距离_网线有哪几种有效传输距离是多少米
  7. 高性能架构学习路线图-分布式架构演进
  8. 宏基服务器系统安装系统还原,宏碁win7系统重装教程
  9. 技术管理者应具备哪些能力
  10. 如何查询网站虚拟服务器的ip,正确姿势查看海外虚拟主机真实IP地址 cPanel面板IP信息...