[关闭]
@Chiang 2020-04-06T14:55:36.000000Z 字数 1721 阅读 1657

Chrome 中 Set-Cookie SameSite 问题

2020-04 跨域


最近遇到在Chrome上跨域嵌入的 iframe重定向次数过多的问题
这里引用简书稲荷九尾的文章备忘

关于 “Chrome 修改对未设置 SameSite 的 cookie,视作 SameSite:Lax 处理的变更” 的问题,目前看,最妥善的解决方案还是按照规矩办事儿,目前 Chrome 是行动最快的,而 FireFox 和 Edge 也在积极跟进,持支持态度。

影响范围:

如果你的项目中有如下跨域场景:

  • 跨域的 ajax 请求;
  • 跨域嵌入的 iframe;
  • 跨域的图片资源请求;
  • 跨域的 POST FORM 表单;

如果存在这类跨域场景,且在服务端接收请求的时候,需要使用流量中的 cookie,则需要注意:这个 cookie 在设置的时候,是否明确有: SameSite:None; Secure 这两个属性。如果没有的话,就会受到此策略影响。

例子:

在 a.com 的页面中,加载 b.com 的 iframe,且希望 iframe 请求的流量中,携带 b.com 的 cookie,用其中的 login_token 作为登录凭证。

  1. +------------------+ +-----------------+
  2. | a.com | | b.com |
  3. | +------------+ | cookie: | |
  4. | | | | login_token | |
  5. | | <iframe> +----------x-----------> |
  6. | | | | | |
  7. | +------------+ | | |
  8. +------------------+ +-----------------+
  9. +----------------------------------------------------------+
  10. | Set-Cookie: login_token=x.xxxxxx; path=/; domain=b.com |
  11. +----------------------------------------------------------+

如果此 token 的 cookie 在设置的时候,未指明 SameSite:None; Secure 这两个属性,如:

  1. set-cookie: login_token=x.xxxxxx; path=/; domain=b.com

则实际请求中,不会携带 login_token 这条 cookie,因此,iframe 实际处于未登录状态。
其他场景,如 Ajax,与此同理。

变更:

在旧策略中,当 set-cookie 时不显式声明 SameSite 时(或只声明 SameSite,未使用 Secure 时),浏览器会自动视为 SameSite:None,即不限制 cookie。此时上面场景中的 cookie 是可以正常发送的。

在新策略中,如上场景,会视为 SameSite:Lax,即只有在特定情况下,才会携带 cookie。上面场景中的 iframe 的请求中,不会携带 cookie。

解决

最正当的解决方法,就是在对需要跨域发送的 cookie 进行 set-cookie 的时候,显式声明 SameSite:None; Secure 属性,如:

  1. set-cookie: ck01=vl01; Path=/; Secure; SameSite=None

通过此种方法,允许 cookie 随跨域流量发送。
否则,只能通过调整域、以及携带参数的方式解决。

临时的解决方案,可以暂时让出现问题的浏览器,通过设置解决,方式如下:

  • 在 chrome 地址栏输入 chrome://flags

  • 在配置项中,搜索 samesite

  • 将以下几项,设置为 disabled

需要注意:

  1. header('Set-Cookie:cross-site-cookie=bar;SameSite=None;Secure');

但是需要https传输方式


参考资料:
Chrome 中 Set-Cookie SameSite 问题
https://web.dev/samesite-cookie-recipes/
https://web.dev/samesite-cookies-explained/

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注