浏览器 重定向次数限制_临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障...
临近年关,咨询师提出360、搜狗急速浏览器无法单点登录到公司核心产品WD: 重定向过多。
现象
经过测试, 出现单点登陆故障的是搜狗、360等双核浏览器(默认使用Chrome内核), 较新式的Edge、Chrome、Firefox均未出现此障碍。
Developer tool监测不到原始的SSO请求,互联网上同类型问题不少,答案却惨不忍睹,味同嚼蜡,人云亦云。年末不能晚节不保,决心啃下硬骨头.
拿出网络分析利器Fiddler
循环重定向?
显示单点登录从website1?ticket =XXOO重定向回首页website.com,确实发生了循环重定向,搜狗浏览器有重定向次数限制,最终返回浏览器定制的404 页面。
结合之前手撕公司单点登录原理:
探究站点发生循环重定向的原因:
自⑥ website1向浏览器写入Cookie for website1
,重定向请求站点主页www.website1.com
⑦的时候,丢失Cookie for website1
,导致website1
认为用户未登陆,被迫重定向请求sso-website.com?service=http://www.website1.com
②重新认证;
而sso-website.com
站点检测到存在Cookie for sso
(该用户已经认证),又开始走④⑤⑥⑦步骤,在第⑦步依旧未携带Cookie for website1
,又再次重定向请求sso-website.com?service=http://www.website1.com②
,循环往复。
定位问题
熟稔web开发的都知道 Cookie for website1 会在请求 website1.com时自然携带
Set-Cookie: X-Gridsum-FullTicketId=TGT-178876-em4uf0faD1c4pbt*********k5Z0vN4uPOoEBWfGIP6l-x-gridsumdissector; path=/; samesite=none; httponly
故障关键在单点登录最后一步重定向,竟然未携带Cookie for website1
截图:
着重分析写入Cookie for website1的附加属性:
Path 指示需要发送该cookie头的根url, =/ 表示站点下所有地址都会发送该CookieSameSite 设置该Cookie的同源策略, = none 指示客户端禁用Cookie的同源限制HttpOnly 指示创建的Cookie是否能通过Javascript访问(该cookie依然存于浏览器上),这里true,表示不能通过Javascript访问该Cookie
从属性定义看,属性值的写法也无懈可击。
最后在官方站点找到如下内容:
The SameSite = None parameter causes compatibility problems with clients that implemented the prior 2016 draft standard (for example, iOS 12). See Supporting older browsers in this document; Apps accessed from older browsers which support the 2016 SameSite standard may break when they get a SameSite property with a value of None. Web apps must implement browser detection if they intend to support older browsers
遵守IETF 2016草案的浏览器不认识Samesite= None属性值,会遇到兼容性问题,若站点打算支持这些旧内核浏览器须实现浏览器嗅探。
这个信息让我眼前一亮,赶紧对比故障的浏览器内核:
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3314.0 Safari/537.36 SE 2.X MetaSr 1.0
搜狗浏览器Chrome内核版本65,位列不兼容列表,binggo, 问题定位。
修复策略
我们的目的是为兼容这些旧核心浏览器,但是本人不打算打补丁(浏览器嗅探,根据User-Agent屏蔽SameSite=none),
结合站点的同源限制的现状,本站点没有必要显式设置SameSite= None
,可保持SameSite默认值Lax
。
说干就干,修改SameSite属性值为Lax,重新k8s部署之后,搜狗浏览器正常单点登陆。
context.Response.Cookies.Append(_options.SsoTgtName, tgt1, new Microsoft.AspNetCore.Http.CookieOptions { HttpOnly = true, SameSite = Microsoft.AspNetCore.Http.SameSiteMode.Lax, Secure = false, });
SameSite历史和版本变更
ASP.NET Core是在2.0版本开始支持SameSite(IETF 2016草案),ASP.NET Core默认将Cookie SameSite设为Lax, 遇到身份验证问题后,大多数SameSite使用被禁用。
IETF 2019标准发布了修复补丁,2019 SameSite草案规定:
- 与2016年草案不向后兼容
- 默认将Cookie SameSite= Lax
- 显式设置SameSite=None时,必须将该Cookie标记为Secure,
None是一个新值
- ASP.NET Core 3.1在SameSite枚举值新增Unspecified,表示不写入SameSite属性值,继承浏览器默认的Cookie策略
- 预定于2020年2月由Chrome默认启用该草案,浏览器需要迁移至该草案。
综上,SameSite=None引出了一个难缠的浏览器新旧版本兼容问题,就本站而言, Cookie的同源策略SameSite=Lax是可行的,是能够适应大多数单点登录。
[1] https://docs.microsoft.com/en-us/aspnet/core/security/samesite?view=aspnetcore-2.1
[2] https://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core
▼往期精彩回顾▼手撕公司单点登录原理ASP.NETCore跨平台技术内幕ASP.NETCore结合Redis实践消息队列
转载是一种动力,分享是一种美德 ~~..~~
如果你觉得文章还不赖,您的鼓励是原创干货作者的最大动力,让我们一起激浊扬清。
浏览器 重定向次数限制_临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障...相关推荐
- 临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障
临近年关,咨询师提出360.搜狗急速浏览器无法单点登录到公司核心产品WD: 重定向过多. 现象 经过测试, 出现单点登陆故障的是搜狗.360等双核浏览器(默认使用Chrome内核), 较新式的Edge ...
- 浏览器 重定向次数限制_浏览器重定向(302)限制问题
问题: 我今天收到反馈,说在IE8下退出存在问题,退出和跳转无法正常完成. 然后,我检查了问题的原因,发现退出接口使用跳转方法遍历白名单域名以退出所有域. 我在互联网上搜索了一下. 问题是什么?我了解 ...
- 浏览器 重定向次数限制_在浏览器输入URL到页面渲染的整个流程是如何的?都有哪些步骤?...
问题:输入 URL 到页面渲染的整个流程 DNS解析 TCP握手 TLS握手 浏览器开始解析文件 构建 DOM 树.构建 CSSOM 树.解析JS 生成 Render 树 调用 GPU 绘制,合成图层 ...
- 应用程序拒绝访问_让你的ASP.NET Core应用程序更安全
对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素: CSRF 强制HTTPS 安全的HTTP Headers CSRF ASP.NET Co ...
- java按需读取word文件_干货分享:ASP.NET CORE(C#)与Spring Boot MVC(JAVA)异曲同工的编程方式总结...
我(梦在旅途,http://zuowj.cnblogs.com; http://www.zuowenjun.cn)最近发表的一篇文章<.NET CORE与Spring Boot编写控制台程序应有 ...
- invoke方法是做啥的_使用 NLog 给 Asp.Net Core 做请求监控
为了减少由于单个请求挂掉而拖垮整站的情况发生,给所有请求做统计是一个不错的解决方法,通过观察哪些请求的耗时比较长,我们就可以找到对应的接口.代码.数据表,做有针对性的优化可以提高效率.在 asp.ne ...
- asp网上书店的代码_使用Helm将ASP.NET Core应用程序部署到Kubernetes容器集群
在<容器化单页面应用中RESTful API的访问>以及<容器化单页面应用中Nginx反向代理与Kubernetes部署>两篇文章中,我介绍了一套容器化ASP.NET Core ...
- 重定向次数过多怎么解决(www.bing.com 重定向次数过多)
www.bing.com 重定向次数过多的解决办法: 须使用电脑edge浏览器 关闭bing相关网页 启动魔法,选择美国 header editor依然需要开启 配置文件, 下面这个配置文件有四条规则 ...
- SSO单点登录重定向解决方案
关注 "Java艺术" 我们一起成长! 继上篇<实现SSO单点登录的思考> 当我们写好SSO单点登录服务的代码后,通过调用接口方式验证,流程看似正常,但开始与前端联调就 ...
- ASP.NET Core SameSite 设置引起 Cookie 在 QQ 浏览器中不起作用
最近在发布了基于 ASP.NET Core 实现的新版登录页面之后,陆陆续续地接到用户反馈登录时 Antiforgery Token 总是验证失败. 日志中记录的对应错误是 今天在 QQ 浏览器中将内 ...
最新文章
- 计算机林中鸟歌曲,励志歌曲曲-林中鸟
- Fiddler抓包使用教程-会话图标
- 45岁的 SQL 语言要被淘汰了?
- 查询局域网内在线电脑IP
- Nginx 虚拟主机
- C#中类的override和virtual
- 如何快速获取properties中的配置属性值
- Java工作笔记-注解的进一步理解
- default value of template parameter c++
- nginx rewrite重写规则配置详解
- 【机器视觉】独家盘点:详解国内外34家物联网机器视觉技术企业
- ALtera DE2开发板学习04
- 禁忌搜索算法TS求解连续函数最值
- 最新无广告扒小马客服系统多种商户接入客服等!目前最好的客服系统 跟洽美站仿站网站源码
- 关保条例发展历程解读
- 天龙八部科举答题问题和答案(全3/8)
- 【参赛作品94】21天openGauss学习之旅
- 电子设计竞赛(6)-逆变电路
- ios截屏功能html,滚动截屏APP - iPhone上的长截图工具
- h5 开源移动开发平台_5个开源移动应用
热门文章
- IOS UIView直接响应点击事件的解决方法
- cactiez的monitor主机名乱码
- SnakeWords开发--Android 2.2
- sourceTree把当前分支合并到远程分支
- idea 工程中有某个类,仍然报错 Cannot resolve symbol XXX 的问题
- Flutter入门一——W7环境下使用VSCode配置Flutter开发环境(脱离Android Studio安装)...
- 函数式编程能否支持更高效的区块链基础设施?
- Solr系列三:solr索引详解(Schema介绍、字段定义详解、Schema API 介绍)
- php与web服务器关系
- LAMP架构(apache安装,apache工作原理介绍)