解决新版chrome跨域问题:cookie丢失以及samesite属性问题「建议收藏」

解决新版chrome跨域问题:cookie丢失以及samesite属性问题「建议收藏」最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。发现问题:登录界面前后端分离,ajax提交登录时出错验证码接口和登录接口的session不一致(跨域问题)在网上搜索跨域问题,重新设置,问题依旧错因排除:ajax允许cookie(已经设置xhrFields:{withCredentials:true})springboot尝试设置了多种跨域方法(springboot解决跨域)深入分析:使用其它浏览器(fi

大家好,又见面了,我是你们的朋友全栈君。

最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。

发现问题:

登录界面前后端分离,ajax提交登录时出错
验证码接口和登录接口的session不一致(跨域问题)
在网上搜索跨域问题,重新设置,问题依旧

错因排除:

ajax允许cookie(已经设置 xhrFields: { withCredentials: true} )
springboot尝试设置了多种跨域方法(springboot解决跨域)

深入分析:

使用其它浏览器(firefox, ie),session却是一致的

对比chrome和firefox请求头和响应头:

firefox:首次发起请求后,服务端返回sessionId后,之后每次请求中的cookie都会带上sessionId。
chrome:请求头始终未携带sessionId,甚至整个cookie都为空,导致服务器每次都接受不到sessionId,每次都会重新分配 一 个 session。

探寻解决方案:
在配置类中设置SameSite=null:

@Configuration
public class SpringSessionConfig { 
   
	@Bean
	public CookieSerializer httpSessionIdResolver() { 
   
		DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
		...
		cookieSerializer.setSameSite(null);
		...
	}
}

注意,你的项目如果未做session分布式管理,可能需要引入以下依赖才能使用上述类。至于不同Chrome版本号的问题可以参考这篇文章:关于解决Chrome新版本中cookie跨域携带和samesite的问题处理

<!-- https://mvnrepository.com/artifact/org.springframework.session/spring-session-core -->
<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-core</artifactId>
    <version>2.1.4.RELEASE</version>
</dependency>

最终解决方案:
继续查找资料的时候,幸运的找到了github上对于该问题的探究:New cross-site cookie not ‘SameSite’ warning in Chrome

看到其中的一条解决方案: 禁用chrome samesite。方法如下:
1.在chrome中打开链接: chrome://flags/#site-isolation-trial-opt-out,搜索samesite
在这里插入图片描述

2.将上述三个选项禁用(设为disable)后重启chrome,问题解决
在这里插入图片描述
总结:
存在即合理,SameSite的设计初衷是为了防止CSRF攻击,禁用SameSite实际上并没有解决问题,属于下下策。这里提供一下我的理解,SameSite为了防止CSRF攻击,加强了对cookie的管理,防止用户带着cookie去访问第三方网站,而这又涉及到了跨域问题。然而,我们不可能要求用户像我们一样去禁用新版chrome的SameSite,目前的建议就是在header中设置samesite,即上述的response.setHeader("Set-Cookie", "HttpOnly;Secure;SameSite=None")后,使用https传输cookie。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/133162.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • pycharm重命名文件名后运行不了_重命名找不到该项目

    pycharm重命名文件名后运行不了_重命名找不到该项目1、选择要重命名的项目,右击Refactor–>Rename2、选择RenameDirectory Renamedirectory是重命名目录文件明 输入新的项目明,Refactor 这时候目录名已经变了,还需要修改项目名 3、选择Renameproject OK 4、这个时候,我们再运行py文件,就会出现‘系统…

  • 域代码 目录「建议收藏」

    域代码 目录「建议收藏」    SEQ图_3-/*ARABIC   ARABIC 表示阿拉伯数字     SEQ图_4-/*ARABIC/s1    /s  定义分隔字符。  在带有内置标题样式格式的段落中,每个连续标题级别的编号都重新从1开始。   这样每个图都从图4-1开始连续编号。 资料: AutoNu

  • spring常规任务(轻便易)

    spring常规任务(轻便易)

  • 最新Anaconda3的安装配置及使用教程(详细过程)

    最新Anaconda3的安装配置及使用教程(详细过程)最新Anaconda3安装使用Anaconda下载方式一:官网下载方式二:清华镜像下载(推荐)Anaconda安装Anaconda是一个开源的Python发行版本,其包含了conda、Python等180多个科学包及其依赖项Anaconda+Jupyter基本上已经是大部分机器学习/数据分析等开发者标配的开发环境,不多介绍,直接进去正题:Anaconda下载方式一:官网下载下载地址传送门:官网首页:https://www.anaconda.com/官网下载页:https://www

  • CAS-KG——知识推理

    CAS-KG——知识推理说明:CAS是国科大的简称,KG是知识图谱的缩写,这个栏目之下是我整理的国科大学习到的知识图谱的相关笔记。课程目标了解以知识图谱为代表的大数据知识工程的基本问题和方法掌握基于知识图谱的语义计算关键技术具备建立小型知识图谱并据此进行数据分析应用的能力教学安排详情请见博客:CAS-KG——课程安排文章目录…

  • mybatis多条件查询sql_sql模糊查询多个条件

    mybatis多条件查询sql_sql模糊查询多个条件步骤1:先运行,看到效果,再学习步骤2:模仿和排错步骤3:在前一步的基础上进行步骤4:模糊查询步骤5:多条件查询步骤1:先运行,看到效果,再学习老规矩,先下载下载区(点击进入)的可运行项目,配置运行起来,确认可用之后,再学习做了哪些步骤以达到这样的效果。步骤2:模仿和排错在确保可运行项目能够正确无误地运行之后,再严格照着教程的步骤,对代码模仿一遍。模仿过程难免代码有出入,导致无法得到…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号