项目原本访问正常,在谷歌Chrom 升级到80后,跨域Samesite必须有值影响跨域项目的解决

最新推荐文章于 2024-12-03 22:02:12 发布
原创 最新推荐文章于 2024-12-03 22:02:12 发布 · 2.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

问题来源:

对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。
Nginx解决方案
首先如果你的项目上使用了反向代理那么恭喜你,你只需要简单的参照转发的这个进行设置。

用 Nginx 自动给 Cookie 增加 Secure 和 HttpOnly

在 nginx 的 location 中配置

# 只支持 proxy 模式下设置,SameSite 不需要可删除,如果想更安全可以把 SameSite 设置为 Strict
proxy_cookie_path / "/; httponly; secure; SameSite=NONE";

示例

server {
    listen 443 ssl http2;
    server_name www.cat73.org;

    ssl_certificate /etc/letsencrypt/live/cat73.org/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/cat73.org/privkey.pem;

    ssl_trusted_certificate /etc/letsencrypt/live/cat73.org/chain.pem;

    add_header X-XSS-Protection "1; mode=block";
    add_header X-Frame-Options SAMEORIGIN;
    add_header Strict-Transport-Security "max-age=15768000";

    location / {
        root /var/www/html;
    }

    location /api {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 在这里设置
        proxy_cookie_path / "/; httponly; secure; SameSite=NONE";
    }
}

 

最新版本chrome浏览器出现的问题及解决方案
猿小白的博客
03-06 4155
最近将chrome浏览器更新到了最新版本 ,在个别网站上出现了访问问题。
linux设置谷歌浏览器,新版chrome浏览器设置允许的实现
weixin_30218749的博客
05-14 2280
前言目前前端解决,主要是通过webpack的devServer来配置。但是有时候开发环境中没有配置devServer,后端又没有设置。前后端分离项目,本地调试代码的时候,经常会遇到问题。本文主要是对之前文章浏览器访问解决方案,做一个补充吧,因为这篇文章最后对chrome设置方式,目前设置不起作用了,更新文章,修正一下。解决--disable-web-security 不起作用的方案...
解决下Cookie的SameSite问题(使用Nginx)
tmyth的专栏
02-16 3万+
#简介 Chrome升级80版本后,默认限制了携带cookie给后端,笔者在使用iframe引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致请求Cookie丢失”,我们知道 Chrome 升级80版本后,默认限制了携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
站请求,nginx配置
weixin_39048143的博客
09-06 1360
location /front/ { proxy_set_header Host $host; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Real-IP $remote_addr; #添加设置sameSitenone ...
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 4万+
问题:在https环境中,等保要求为set-cookie增加secure属性(为了安全,防止http请求时使用此cookie) 解决办法: 在nginx配置文件中可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
ilqgffvramusm2864的博客
05-22 2万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie的安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie中设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
关于谷歌Chrom 80版本升级后,Samesite必须有影响项目解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在...
关于谷歌chrom 80版本升级
05-01
首先,Cookie的SameSite属性默认从原来的None变成了Lax,这意味着请求时,Cookie只有在“安全” HTTPS 连接中才会被发送,限制了第三方 Cookie 的滥用。其次,Chrome会严格限制访问Cookie的时间,将半年的...
cors扩展插件chrome
12-13
标题中的“cors扩展插件chrome”指的是用于解决Web应用程序问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
Nginx 使用 proxy_cookie_path 解决反向代理 cookie 丢失导致无法登录等问题
Aesop的博客
09-26 2万+
proxy_cookie_path 语法 proxy_cookie_path source target; source 源路径 target 目标路径 使用原因 cookie 的 path 与地址栏上的 path 不一致 浏览器就不会接受这个 cookie,无法传入 JSESSIONID 的 cookie 导致登录验证失败 使用场景 当 nginx 配置的反向代理的路径和源地址路径不一致时使用 使用 Demo 重点看proxy_cookie_path NGINX # elastic-job
Nginx配置解决Chrome浏览器SameSite问题
shijin741231的博客
08-31 6537
Nginx配置解决Chrome浏览器SameSite问题 最近联调接口,反复遇到chrome问题,本来解决也很顺畅,结果突然有一个客户非要使用chrome 63的版本。。。。。。我折腾半天也没太好的办法,只能通过nginx去识别chrome浏览器版本决定返回cookie解决。 参考链接: 参考链接: Chrome修改了cookie安全策略. 参考链接: 通过Nginx设置HttpOnly Secure SameSite参数解决Cookie丢失. 参考链接: 关于IE下面iframe co
Nginx设置HttpOnly Secure SameSite参数 解决Cookie信息丢失
最新发布
m0_74825152的博客
12-03 1092
当然,前提是用户浏览器支持 SameSite 属性。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。浏览器F12 在网络下查看当前状态,SameSite属性缺失,我们需要通过配置nginx将SameSite属性设置为Strict或者 Lax。在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问
同源、站、SameSite与withCredentials
Super_Tyr的博客
03-06 5081
系统性梳理前端同源策略、解决方案CORS、Cookie的安全策略,最后总结不同场景的站问题解决方法。
axios(ajax),springboot 携带session
Qc1998的博客
09-01 2409
前端发送请求时默认是不会携带cookie的,后端无法获得sessionId。要解决这一问题,前后端配置分别如下 前端配置 前端通过设置withCredentials: true来解决。如果是在vue中使用axios,需要设置 axios.defaults.withCredentials = true 如果使用的是jQuery的ajax方法 $.ajax({ url : '...
Cookie 的 SameSite 属性
日积月累的博客
11-22 7496
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
SameSite Cookie,防止 CSRF 攻击
weixin_33851429的博客
07-12 973
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值