解决新版chrome浏览器SameSite属性cookie拦截问题
问题现象:
由于升级了新版chrome浏览器后,发现系统正常iframe嵌套、AJAX,Image从以前的跨站会发送三方 Cookie,变成了不发送。导致某些内容无法显示了,页面空白,但是请求未报错。
查找资料:
发现Google 在2月4号发布的 Chrome 80 版本中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性,并且拒绝非Secure的Cookie设为 SameSite=None
SameSite的作用就是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪,此举是为了从源头屏蔽 CSRF 漏洞。
解决方案:
1.(不推荐)禁用浏览器samsite属性/或降低版本(目前仅chorme存在)
2.(不推荐)保证同源策略cookie共享(保证ip或域名一直)
3.(推荐)设置response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”),需设置https证书
4.(推荐)不使用cookie共享会话,使用token实现
