Chrome80以上版本,跨域Cookie的SameSite问题

场景:

某项目A中的一个模块,引用了另一独立项目B的某个模块,采用的方式是iframe,一直是正常运行的,直到某一天,出现了一台访问B模块会报错的chrome浏览器,经排查报错的浏览器为chrome80+版本

原因分析:

chrome在80版本之后,添加了一个对于cookie的SameSite特性,默认情况下SameSite=Lax,SameSite的作用是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪。上述业务场景中,在A中访问B服务时,带了一些cookie过去,然后被这个SameSite机制拦截掉了。

关于SameSite的知识点:

SameSite一共可以设置3个值:

  • Strict
  • Lax
  • None

strict最严格,lax次之,none最松,但无论哪一个值,都必须在https下使用,如果是http,那么,使用chrome80+浏览器,在不改浏览器配置的情况下,无论如何无法实现跨域传cookie!

SameSite参考链接:http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

改浏览器配置以支持跨域传cookie的方法:

chrome地址栏输入:

chrome://flags

然后再搜索框中输入搜索SameSite by default cookies

将SameSite by default cookies的值改为disabled,重启浏览器,即可

你可能感兴趣的:(个人开发笔记)