文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
    时间不限
    最近一周
    最近一月
    最近三月
  • 来自专栏阮一峰的网络日志

    Cookie 的 SameSite 属性

    Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 ? 一、CSRF 攻击是什么? 二、SameSite 属性 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。 当然,前提是用户浏览器支持 SameSite 属性。 2.3 None Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。 Set-Cookie: widget_session=abc123; SameSite=None 下面的设置有效。

    3.2K20发布于 2020-01-21
  • 来自专栏编译思想

    iframe、SameSite与CEF

    iframe、SameSite与CEF 背景 本人使用CEF(或是Chrome)来加载开发的前端页面,其中使用iframe嵌入了第三方页面,在第三方页面中需要发送cookie到后端,然而加载会报错 Chrome内核)的安全策略,在51版本以前、80版本以后,绝大多数情况下是禁止嵌入的iframe提交Cookie的(下文会列出哪些禁止),所以需要浏览器配置策略来允许iframe提交Cookie,这个策略就是SameSite SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。 SameSite 可以有下面三种值: Strict(严格的)。 解决方案 Chrome(或是基于Chromium的Edge) 在基于Chrome中,可以进入如下的页面进行配置: 地址栏输入:chrome://flags/(Edge中会自动转为edge://) 找到SameSite by default cookies和Cookies without SameSite must be secure 将上面两项设置为 Disable CEF 上面的方法很通用,不过,对于CEF项目来说

    1K41编辑于 2023-10-17
  • 来自专栏路过君BLOG from CSDN

    springboot cookie增加SameSite=None;Secure属性

    版本 2.x 依赖 <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-core</artifactId> </dependency> 配置 import org.springframework.boot.autoconfigure.session.DefaultCookieSerializerCustomizer; import org.springframework.

    3.2K30编辑于 2021-12-07
  • 来自专栏秋风的笔记

    Cook Cookie, 我把 SameSite 给你炖烂了

    列一列自己看过的文章: •带你入门的阮老师[1]•很长很官方的文章[2]•SameSite 诞生的草案[3]•SameSite 开始发威的草案[4]•RFC 6265 Cookie 规范,HTTP State Management Mechanism[5] 走进SameSite 和新冠一起火了的SameSite SameSite Cookie行为更新去年就开始被提上日程,2020年2月随着Chrome 80 SameSite=Lax" 变成默认设置,取代现在的"SameSite=None";2.如果硬要设置成"SameSite=None",则需要同时增加"Secure"标识,即这个cookie只能在Https 你可以看:阮一峰老师[10] 但更推荐MDN官方的:SameSite cookies[11] 你可以通过:https://samesite-sandbox.glitch.me/ 网站来了解你的浏览器是否开启 [2] 很长很官方的文章: https://web.dev/samesite-cookies-explained/ [3] SameSite 诞生的草案: https://tools.ietf.org

    3K10发布于 2021-01-06
  • 来自专栏MashiroのBlog

    使用 Servlet 设置 cookie 的 SameSite 属性

    问题是:使用 HttpServletResponse 的 addCookie() 方法后,开发者工具提示 某些 Cookie 滥用推荐的"sameSite"属性 由于 Cookie 的"sameSite =Strict")); } } @Override public void destroy() { } } 解法2 继承Cookie类,添加SameSite ; } public NewCookie setSameSite(String sameSite) { this.sameSite = sameSite; if (NONE.equals(sameSite)) { setSecure(true); } return this; } @Override ,本文只介绍Servlet相关,请自行阅读原文 参考2:应对浏览器Cookie新属性SameSite的临门一脚

    7.1K40编辑于 2022-10-28
  • 来自专栏服务器运维笔记

    你了解 Cookie 中的 SameSite 属性吗

    「而在当下时间(2022年),由于 SameSite 属性的存在,跨域请求很难携带 Cookie。」 因此 CSRF 攻击变得非常困难。 SameSite None: 任何情况下都会向第三方网站请求发送 Cookie Lax: 只有导航到第三方网站的 Get 链接会发送 Cookie。 如果在跨域情况下需要发送 Cookie,则 SameSite 为 None,需要指定 Cookie 属性 Secure 在 HTTPS 下发送。 sameSite=Strict https://http.devtool.tech/api/cookies/set/c/5? 作业 SameSite 有哪些属性 什么是 CSRF 攻击,如何通过 SameSite 避免 CSRF 攻击

    1.6K30编辑于 2023-01-10
  • 来自专栏前端自习课

    【Web技术】582- 聊聊 Cookie “火热”的 SameSite 属性

    所以本文就给大家介绍一下浏览器的 Cookie 以及这个"火热"的 SameSite 属性。 SameSite SameSite 是最近非常值得一提的内容,因为 2 月份发布的 Chrome80 版本中默认屏蔽了第三方的 Cookie,这会导致阿里系的很多应用都产生问题,为此还专门成立了问题小组 在Chrome80以上如果因为Samesite的原因请求没办法带上这个Cookie,则会出现一直弹出验证码进行安全验证。 不过也会有两点要注意的地方: HTTP 接口不支持 SameSite=none 如果你想加 SameSite=none 属性,那么该 Cookie 就必须同时加上 Secure 属性,表示只有在 HTTPS 需要 UA 检测,部分浏览器不能加 SameSite=none IOS 12 的 Safari 以及老版本的一些 Chrome 会把 SameSite=none 识别成 SameSite=Strict,

    2.2K20发布于 2020-05-14
  • 来自专栏Dotnet9

    使用IdentityServer出现过SameSite Cookie这个问题吗?

    首先,这个 SameSite 是关于什么的? 您必须选择加入该新功能并明确设置您的 cookie SameSite=Lax 或 SameSite=Strict 使其更安全。 字段,它将 cookie 视为使用 SameSite=Lax. 要在 Chrome 79 中进行测试,请导航到 chrome://flags、搜索 samesite 并启用该 SameSite by default cookies 标志。 正确解释该值的浏览器删除SameSite标志.

    2.4K30编辑于 2022-06-10
  • 来自专栏张善友的专栏

    Chrome 80+ 跨域Samesite 导致的cookie not found 解决方法

    Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 当然,前提是用户浏览器支持 SameSite 属性。 1.3 None Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。 Set-Cookie: widget_session=abc123; SameSite=None 下面的设置有效。 Set-Cookie: widget_session=abc123; SameSite=None; Secure

    2.4K20发布于 2020-09-24
  • 来自专栏前端私教年年

    腾讯三面:Cookie的SameSite了解吧,那SameParty呢?

    SameSite 上面提到的same-site是cookie的一个属性,它制约第三方cookie的携带,其值有三个none、strict、lax。 在safari,same-site的默认值是lax,如果把它设置为same-site:none,会适得其反,被当作strict处理 SameSite的修改 可以这么理解,浏览器将same-site的默认值从 SameSite修改带来的影响 像a链接这种,没有受到影响,依旧会带上三方cookie,这样可以保证从百度搜索中打开淘宝,是有登录状态的。 但是对大部分业务的影响是巨大的,比如监控埋点系统。 "owner": ".taobao.com", } 并且,在下发cookie时,需要注明same-party属性: Set-Cookie: id=nian; SameParty; Secure; SameSite

    1.5K10编辑于 2022-07-29
  • 来自专栏程序猿DD

    Spring Boot 2.6 正式发布:循环依赖默认禁止、增加SameSite属性...

    Servlet应用支持在 Cookie 中配置 SameSite 属性 该属性可通过server.session.cookie.same-site属性来配置,共有三个可选值: Strict 严格模式, 必须同站请求才能发送 cookie Lax 宽松模式,安全的跨站请求可以发送 cookie None 禁止 SameSite 限制,必须配合 Secure 一起使用 2.

    1.6K20编辑于 2023-04-04
  • 来自专栏cookie SameSite

    调用腾讯地图如何添加 Cookie 的 SameSite 属性(Chrome 版本 78.0.3904.70)

    调用腾讯地图出现让添加cookie的samesite属性 A cookie associated with a cross-site resource at http://v.qq.com/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite 请求头部添加 Set-Cookie: widget_session=abc123; SameSite=None; Secure 参考文章 https://blog.csdn.net/weixin_44269886

    12.6K2116发布于 2019-10-29
  • 来自专栏全栈程序员必看

    解决新版chrome跨域问题:cookie丢失以及samesite属性问题「建议收藏」

    至于不同Chrome版本号的问题可以参考这篇文章:关于解决Chrome新版本中cookie跨域携带和samesite的问题处理 <! ’ warning in Chrome 看到其中的一条解决方案: 禁用chrome samesite。 )后重启chrome,问题解决 总结: 存在即合理,SameSite的设计初衷是为了防止CSRF攻击,禁用SameSite实际上并没有解决问题,属于下下策。 然而,我们不可能要求用户像我们一样去禁用新版chrome的SameSite,目前的建议就是在header中设置samesite,即上述的response.setHeader("Set-Cookie", "HttpOnly;Secure;SameSite=None")后,使用https传输cookie。

    6.5K10编辑于 2022-06-27
  • 来自专栏me的随笔

    跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials

    之前的文章同源策略与CORS已对什么是跨域作了说明,不再赘述,本文作为对之前文章的补充,以cookie的访问为切入点,介绍下跨站(cross-site)、跨域(cross-origin)、SameSite 的情况,以下是MDN上对SameSite与XMLHttpRequest.withCredentials的概述: SameSite主要用于限制cookie的访问范围。 对于跨站问题,这两篇文章都有讲述:当 CORS 遇到 SameSite、【译】SameSite cookies 理解,可以参考阅读。 顶级导航(top-level navigation),即浏览器地址栏中直接输入地址,浏览器会存储cookie,不论cookie的samesite的值是多少。 API返回的cookie,如果设置了属性:secure; samesite=none,则浏览器会存储cookie。

    3.9K10发布于 2020-11-24
  • 来自专栏路过君BLOG from CSDN

    Chrome 浏览使用IFRAME嵌套站点cookie传递失败

    Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 解决方案1 在cookie中追加属性 secure; SameSite=None 此方案需要使用https协议 此方案可能由于某些浏览器不支持SameSite属性而使cookie无法正确传递,需要判断user_agent 包含chrome才追加此属性 使用nginx根据user_agent自动追加samesite属性 http { ... map $http_user_agent $samesite_attr { "~*chrome" ';Secure;SameSite=None'; } ... proxy_cookie_path ~/(.*) "/$1$samesite_attr"; } } } 解决方案2 Chrome访问地址 chrome://flags/ 搜索"SameSite

    2.1K10编辑于 2022-04-26
  • 来自专栏精益码农

    临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障

    修复策略 我们的目的是为兼容这些旧核心浏览器,但是本人不打算打补丁(浏览器嗅探,根据User-Agent屏蔽SameSite=none), 结合站点的同源限制的现状,本站点没有必要显式设置SameSite = None,可保持SameSite默认值Lax。 SameSite使用被禁用。 IETF 2019标准发布了修复补丁,2019 SameSite草案规定: 与2016年草案不向后兼容 默认将Cookie SameSite= Lax 显式设置SameSite=None时,必须将该Cookie 综上,SameSite=None引出了一个难缠的浏览器新旧版本兼容问题,就本站而言, 最后一步将Cookie的同源策略SameSite=Lax是可行的。

    2.3K10发布于 2020-04-16
  • 来自专栏精益码农

    [ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问

    原因在于,非Chrome80+浏览器不识别Cookie上的SameSite=none属性值,导致认证Cookie在后续请求中被抛弃。 ? 截至2020/3/30号,非Chrome浏览器测试包含两种结果: case1:可设置cookie的samesite=none, 浏览器可读取该cookie case2:对cookie设置samesite (); } private void CheckSameSite(HttpContext httpContext, CookieOptions options) { if (options.SameSite if (MyUserAgentDetectionLib.DisallowsSameSiteNone(userAgent)) { options.SameSite ASP.NET Core3.1 对与SameSiteMode新增了一个 Unspecified枚举值,表示服务端不会对Cookie设置SameSite属性值, 后面的携带Cookie的事情交给浏览器默认配置

    1.6K20发布于 2020-04-16
  • 来自专栏code秘密花园

    两个你必须要重视的 Chrome 80 策略更新!!!

    2.强推 SameSite Cookie SameSite 是 Chrome 51 版本为浏览器的 Cookie 新增的了一个属性, SameSite 阻止浏览器将此 Cookie 与跨站点请求一起发送 但是,在 Chrome 80+ 版本中,SameSite 的默认属性是 SameSite=Lax。 换句话说,当 Cookie 没有设置 SameSite 属性时,将会视作 SameSite 属性被设置为Lax 。 有关更多详细信息,请访问 Cookie旧版SameSite政策:https://www.chromium.org/administrators/policy-list-3/cookie-legacy-samesite-policies 你可以到 chrome://flags/ 开启 SameSite by default cookies、Cookies without SameSite must be secure 进行测试。 ?

    4.8K40发布于 2020-02-25
  • 来自专栏路过君BLOG from CSDN

    使用IFRAME嵌套站点cookie传递失败

    Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 报错如下 A cookie associated with a cross-site resource at http://XXX.XXX.XXX.XXXX/ was set without the `SameSite has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with `SameSite 解决方案1 在cookie中追加属性 secure; SameSite=None 注意:此方案可能由于某些浏览器不支持SameSite属性而使cookie无法正确传递 解决方案2 Chrome访问地址 chrome://flags/ 搜索"SameSite",修改配置项如图 ?

    4.5K20发布于 2020-07-16
  • 来自专栏私人订制

    青春图床--开源图床源码young-pictures

    remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 转发Cookie,设置 SameSite proxy_cookie_path / "/; secure; HttpOnly; SameSite=strict"; # 执行代理访问真实服务器 proxy_pass proxy_cookie_path / "/; secure; HttpOnly; SameSite=strict"; # 执行代理访问真实服务器 proxy_pass proxy_cookie_path / "/; secure; HttpOnly; SameSite=strict"; # 执行代理访问真实服务器 proxy_pass proxy_cookie_path / "/; secure; HttpOnly; SameSite=strict"; # 执行代理访问真实服务器 proxy_pass

    58930编辑于 2023-05-11
第 2 页第 3 页第 4 页第 5 页第 6 页第 7 页第 8 页第 9 页第 10 页第 11 页
点击加载更多

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

领券