@Chiang
2020-04-06T14:55:36.000000Z
字数 1721
阅读 1642
2020-04 跨域
最近遇到在Chrome上跨域嵌入的 iframe重定向次数过多的问题
这里引用简书稲荷九尾的文章备忘关于 “Chrome 修改对未设置 SameSite 的 cookie,视作 SameSite:Lax 处理的变更” 的问题,目前看,最妥善的解决方案还是按照规矩办事儿,目前 Chrome 是行动最快的,而 FireFox 和 Edge 也在积极跟进,持支持态度。
如果你的项目中有如下跨域场景:
- 跨域的 ajax 请求;
- 跨域嵌入的 iframe;
- 跨域的图片资源请求;
- 跨域的 POST FORM 表单;
如果存在这类跨域场景,且在服务端接收请求的时候,需要使用流量中的 cookie,则需要注意:这个 cookie 在设置的时候,是否明确有: SameSite:None; Secure 这两个属性。如果没有的话,就会受到此策略影响。
例子:
在 a.com 的页面中,加载 b.com 的 iframe,且希望 iframe 请求的流量中,携带 b.com 的 cookie,用其中的 login_token 作为登录凭证。
+------------------+ +-----------------+| a.com | | b.com || +------------+ | cookie: | || | | | login_token | || | <iframe> +----------x-----------> || | | | | || +------------+ | | |+------------------+ +-----------------++----------------------------------------------------------+| Set-Cookie: login_token=x.xxxxxx; path=/; domain=b.com |+----------------------------------------------------------+
如果此 token 的 cookie 在设置的时候,未指明 SameSite:None; Secure 这两个属性,如:
set-cookie: login_token=x.xxxxxx; path=/; domain=b.com
则实际请求中,不会携带 login_token 这条 cookie,因此,iframe 实际处于未登录状态。
其他场景,如 Ajax,与此同理。
在旧策略中,当 set-cookie 时不显式声明 SameSite 时(或只声明 SameSite,未使用 Secure 时),浏览器会自动视为 SameSite:None,即不限制 cookie。此时上面场景中的 cookie 是可以正常发送的。
在新策略中,如上场景,会视为 SameSite:Lax,即只有在特定情况下,才会携带 cookie。上面场景中的 iframe 的请求中,不会携带 cookie。
最正当的解决方法,就是在对需要跨域发送的 cookie 进行 set-cookie 的时候,显式声明 SameSite:None; Secure 属性,如:
set-cookie: ck01=vl01; Path=/; Secure; SameSite=None
通过此种方法,允许 cookie 随跨域流量发送。
否则,只能通过调整域、以及携带参数的方式解决。
在 chrome 地址栏输入
chrome://flags在配置项中,搜索
samesite将以下几项,设置为
disabled
header('Set-Cookie:cross-site-cookie=bar;SameSite=None;Secure');
但是需要https传输方式
参考资料:
Chrome 中 Set-Cookie SameSite 问题
https://web.dev/samesite-cookie-recipes/
https://web.dev/samesite-cookies-explained/