对于未来chrome80 samesite问题的兼容解决方案
Posted dupd
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了对于未来chrome80 samesite问题的兼容解决方案相关的知识,希望对你有一定的参考价值。
未来chrome80会默认(SameSite: lax)在跨域请求的情况下不允许跨域携带cookie给后端,导致所有跨域场景下使用cookie进行鉴权的服务会受到影响。
网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
但是设置了SameSite为None, 很难保证在非chrome浏览器上一定是兼容的,所以基于兼容性考虑有两个方案:
1.采用两套cookie 例如原cookie中已经种入了session-id=xxxxx,可以维持不变,再额外种入另一个cookie session-id-2=xxxxx中设置特性SameSite为none secure: true。这样可以兼容新旧版的所有浏览器。这样就要求后端取得时候判断session-id不存在,再取cookie session-id-2的值
2.JWT方案,统一把token放在header的authorization,就不存在跨域携带cookie的困扰了
第一个方案主要适配在于后端,前端基本不需要变动,第二个方案需要前后端做一定的改造,视情况而定
以上是关于对于未来chrome80 samesite问题的兼容解决方案的主要内容,如果未能解决你的问题,请参考以下文章
Node.js、Angular、express-session:由于 cookie 策略(sameSite cookie),Chrome 80 不保存会话
Chrome 控制台 SameSite Cookie 属性警告