码上快乐

相关内容   简体   繁体

samesite设置让跨域jsonp中cookie无法传递问题

本文转载自  查看原文  2020-08-27 16:09  2105    jsonp/ samesite/ cookie传递/ php

最近项目中遇到一个问题,就是a.com域名下使用b.com域名的jsonp获取数据,竟然无法把b.com的cookie上发。

一)发现问题
 1)确认浏览器版本,chrome的83.0.4103.116版本,无法上发跨域cookie
 2)测试其他浏览器版本,QQ浏览器10.6(Chromium70.0.3538.25),可以正常上发跨域cookie
 3)查找差异性,因为是cookie问题,我们服务端写cookie是使用php的setcookie方法,所以我们查找php.net官网setcookie方法,我们发现了一个设置值,就是cookie的samesite这个属性。见后面参考1。

 

二)什么是samesite
 samesite最早出自草案:https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02
 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。以前samesite默认为None。
 chrome升级到80后,把samesite默认值设为lax,导致了jsonp传递cookie的问题。
 我们可以通过chrome的地址访问:chrome://flags/
 查找samesiite,就可以找到实验室中的几个选项,只要禁用第一个选项,就可以上发cookie了。但是有没有其他不禁用的方法,因为这个版本默认就开启了,不可能让用户来手动设置,所以我们需要了解一下这是个什么东西。

 

 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。
 它可以设置三个值:Strict,Lax和None。

 1)Strict值,严格,完全禁止第三方cookie,跨站时,任何情况都不发送cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

 2) Lax,稍微宽松,大多数情况也不发送第三方cookie,但是导航到目标地址的Get请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

 导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。

请求类型 示例 正常情况 Lax
链接 <a href="..."></a> 发送 Cookie 发送 Cookie
预加载 <link rel="prerender" href="..."/>  发送 Cookie 发送 Cookie
GET 表单 <form method="GET" action="..."> 发送 Cookie 发送 Cookie
POST 表单 <form method="POST" action="..."> 发送 Cookie 不发送
iframe <iframe src="..."></iframe> 发送 Cookie 不发送
AJAX $.get("...") 发送 Cookie 不发送
Image <img src="..."> 发送 Cookie 不发送

 

 设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

 3)None,chrome默认lax,但是我们网站可以显式关闭SameSite属性,设置为None既可。但是前提必须设置Secure属性为true,否则设置无效。

//无效
Set-Cookie: widget_session=abc123; SameSite=None
//有效
Set-Cookie: widget_session=abc123; SameSite=None; Secure

三)php中设置带SameSite的cookie
 1)服务器通用配置
 1.1)apache通用配置

Header always edit Set-Cookie (.*) "$1; SameSite=Lax"

 1.2) nginx通用配置

location / {
    # your usual config ...
    # hack, set all cookies to secure, httponly and samesite (strict or lax)
    proxy_cookie_path / "/; secure; HttpOnly; SameSite=strict";
}

 2)PHP >= v7.3,可以直接设置samesite

setcookie($name, $value, [
    'expires' => time() + 86400,
    'path' => '/',
    'domain' => 'domain.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'None',
]);

 3)PHP <v7.3,无法直接设置samesite

//通过header设置
header("Set-Cookie: key=value; path=/; domain=example.org; HttpOnly; SameSite=Lax");
//通过setcookie方法设置,利用path传入"/;samesite=None",这是利用php的一个bug,不会对path里面的“;”进行处理
setcookie('cookie-name', '1', 0, '/; samesite=strict');

四)参考

 1)php设置cookie方法:

  https://www.php.net/manual/en/function.setcookie.php

 2)php中setcookie的bug可以查看:

  https://github.com/php/php-src/commit/5cb825df7251aeb28b297f071c35b227a3949f01

 3)Cookies:HTTP状态管理机制草案05:

  https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05

 4)samesite兼容内容:

  https://www.chromium.org/updates/same-site/incompatible-clients

 


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题 jsonp跨域设置cookie Chrome 80 中 Iframe 跨域传 Cookie 的 Samesite 问题 关于解决Chrome新版本中cookie跨域携带和samesite的问题处理 关于解决Chrome新版本中cookie跨域携带和samesite的问题处理 ——Ngnix篇 Chrome 80及以上版本 中 Iframe 跨域 Cookie 的 Samesite 问题 Spring Session 跨域时 Cookie SameSite 问题 Chrome 80及以上版本 中 Iframe 跨域 Cookie 的 Samesite 问题 跨域cors中如何传递cookie(前端为什么无法向后端传递cookie?) springboot跨域如何设置SameSite
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM