Chrome80以上版本,跨域Cookie的SameSite问题

Posted Y飞羽Y

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Chrome80以上版本,跨域Cookie的SameSite问题相关的知识,希望对你有一定的参考价值。

场景:

某项目A中的一个模块,引用了另一独立项目B的某个模块,采用的方式是iframe,一直是正常运行的,直到某一天,出现了一台访问B模块会报错的chrome浏览器,经排查报错的浏览器为chrome80+版本

原因分析:

chrome在80版本之后,添加了一个对于cookie的SameSite特性,默认情况下SameSite=Lax,SameSite的作用是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪。上述业务场景中,在A中访问B服务时,带了一些cookie过去,然后被这个SameSite机制拦截掉了。

关于SameSite的知识点:

SameSite一共可以设置3个值:

  • Strict
  • Lax
  • None

strict最严格,lax次之,none最松,但无论哪一个值,都必须在https下使用,如果是http,那么,使用chrome80+浏览器,在不改浏览器配置的情况下,无论如何无法实现跨域传cookie!

SameSite参考链接:http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

改浏览器配置以支持跨域传cookie的方法:

chrome地址栏输入:

chrome://flags

然后再搜索框中输入搜索SameSite by default cookies

将SameSite by default cookies的值改为disabled,重启浏览器,即可

以上是关于Chrome80以上版本,跨域Cookie的SameSite问题的主要内容,如果未能解决你的问题,请参考以下文章

对于未来chrome80 samesite问题的兼容解决方案

chrome cookies cookie 解密 写入(80+版本)

chrome49版本以上啥意思

Cookie 未在 Chrome 跨域发布中发送

mac版chrome怎么设置跨域访问

解决新版谷歌chrome浏览器cookie跨域,cookie失效问题