Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
原因:
分析:
Google 在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为 SameSite=None(https://www.chromestatus.com/feature/5633521622188032)
SameSite的作用就是:防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪,此举是为了从源头屏蔽 CSRF 漏洞。
关于 SameSite 属性的介绍,可参考阮一峰的《Cookie 的 SameSite 属性》。
原文链接:https://blog.csdn.net/yhyc812/article/details/108623844
CSRF
- CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
- CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
- 简单理解别人拿着你的cookie去登陆网站干坏事
解决
- 我报错的具体原因就是:我在http://localhost:3000/msite跨域请求了http://172.20.91.81:3000/sockjs-node/info?t=1634957626945,在http://localhost:3000/msite网站跨域传送了cookie(connect.sid 172.20.91.81)
- 而/sockjs-node/info?t=1634957626945我并没有去请求它啊?
- 然后百度发现:vue-cli4在运行npm run serve 之后 network 里面一直调研一个接口:http://localhost:3000/sockjs-node/info?t=1634957626945
- 解决:
- 找到/node_modules/sockjs-client/dist/sockjs.js
- 找到代码的 1605行
// An highlighted blocktry {// self.xhr.send(payload); 把这里注掉} catch (e) {self.emit('finish', 0, '');self._cleanup(false);}
- 点击刷新,报错消失
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute相关推荐
- 谷歌提示Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
翻译:通过指定其SameSite属性来指示是否在跨站点请求中发送cookie 是chrome 更新以后出现的问题,主要是为了防止CSRF 攻击,屏蔽了第三方cookies. 警告信息中讲到一个Same ...
- 漏洞修复:Cookie Security: Overly Permissive SameSite Attribute
描述 The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). S ...
- CodeIgniter框架源码学习之安全类--Security.php
文件位置:./system/core/Security.php <?php /** * CodeIgniter * * An open source application developmen ...
- Chrome 跨域 请求不携带cookie
一个月没动的项目,今天突然需要优化一个功能,项目启动,美滋滋的 localhost:8082访问前端页面,登录成功, 访问数据页面,报未登录 一脸懵逼,一个月前好好的项目,突然就出问题了,查看下请求发 ...
- 前端怎么获取cookie的值_作为前端你必须要了解的安全性问题!
前端技术不断发展,安全性的问题也越来越受到关注.作为前端工程师,保障网络安全也越来越重要. XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击. 攻击者在网站上植入非法的htm ...
- 单点登录与权限管理本质:cookie安全问题
继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,前一篇文章介绍了单点登录概念,以CAS协议的基本流程为例讲解了系统间的交互过程,过程中,cookie的设置和传输涉及的比较多,如何 ...
- 什么是 Cookie Session 和 JWT
无状态 Q: 大家都知道HTTP是无状态的协议, 那怎么理解无状态呢? A: 想象一下你们公司有个看门的门卫, 记性特别差, 还是个脸盲, 但是特别有职业操守, 每次出门回来都管你要出入证; 有一次, ...
- django错误 - Reason given for failure: CSRF cookie..
2019独角兽企业重金招聘Python工程师标准>>> 今天练习django的form的提交.当提交表单的时候,出现了 Forbidden (403) CSRF verificati ...
- 解决新版谷歌Chrome浏览器Cookie跨域失效问题
谷歌 Chrome80 在 2020年2月4号发布的版本(schedule)会逐渐屏蔽第三方Cookie,即默认为所有Cookie加上SameSite=Lax属性(Cookies default to ...
- 三个臭皮匠浅谈xss获取用户cookie的安全漏洞
利用别人的cookie,他们可以冒充真实的用户,在颁发cookie的那个网站中为所欲为,个人隐私在他们面前根本不存在. 接下来这篇文章以3个兄弟之间的对话进行讲解. 运气好的话连别人的用户名和密码都能 ...
最新文章
- java list 自定义类型转换_java – 可以从List生成平面XML结构的XStream自定义转换器?...
- python商业爬虫_商业爬虫学习笔记day1
- openhtmltopdf 图片_30w太阳能路灯价格及图片
- Invalid host: lb://xxx_xxx
- quartz获取开始结束时间_王者荣耀s21什么时候开始是9月24日吗?王者荣耀s20赛季结束时间...
- python time 语句_python的time模块总结
- HBase学习笔记——概念及原理
- c语言中O空字符,OC语言中字符串的使用
- Java 中 @Autowired与@Resource的区别
- 深度优先,广度优先,拓扑排序(实战题解)
- Python程序中各函数间调用关系分析与可视化
- Rabbitmq学习笔记008---AmqpException: No method found for class java.lang.String
- php sql慢查询,一个用户SQL慢查询分析,原因及优化_MySQL
- js 台阶有n级_乔欣这是“开眼角”了?只在眼妆中多加这一步,整个人变美了N倍...
- springboot 上传文件保存在本地磁盘
- java接口自行车例题_java接口相关例题
- 电话自动拨号在电脑上自动拨打
- 【历史上的今天】1 月 17 日:VirtualBox 诞生;杨致远辞职;风暴蠕虫问世
- CSS3的box-sizing 属性
- img标签底部总是留有一条白色空隙