SameSite=None不适用于Apache2.2.15和Tomcat6
SameSite=None是一个用于设置Cookie的属性,用于解决跨站点请求伪造(CSRF)攻击的问题。它指示浏览器在发送跨站点请求时,不应该将Cookie包含在请求中,除非该请求是从同一站点发起的。
在Apache2.2.15和Tomcat6中,不支持SameSite=None属性。这是因为SameSite属性是在2016年引入的,而这些版本的服务器软件在此之前发布,因此不具备对该属性的支持。
然而,尽管Apache2.2.15和Tomcat6不支持SameSite=None属性,仍然可以通过其他方式来增强安全性。例如,可以使用其他安全措施,如使用CSRF令牌、验证请求来源等来防止跨站点请求伪造攻击。
对于Apache2.2.15和Tomcat6用户,建议升级到支持SameSite属性的最新版本,以获得更好的安全性保护。同时,也可以考虑使用其他云计算品牌商提供的解决方案,如腾讯云的云服务器CVM、云函数SCF等产品,以获得更全面的云计算服务和安全保障。
腾讯云相关产品介绍链接:
- 云服务器CVM:https://cloud.tencent.com/product/cvm
- 云函数SCF:https://cloud.tencent.com/product/scf
相关·内容
是否有避免"Lax+POST“临时干预的2分钟窗口的铬标志?这样,我们就可以测试对我们的网站的影响,当这种行为将在未来被删除。
注意到,"Lax+POST“的2分钟窗口是暂时的干预,在将来的某个时候( Chrome 80稳定发布后的某个时候)将被删除,此时涉及到这些流的cookie将需要SameSite=None和Secure,即使不到2分钟。
浏览 3提问于2019-11-25得票数 1
回答已采纳
我正在尝试加载一个网络(Ex )。www.google.com),但是webview将下一条消息传递到控制台:
与的资源关联的cookie是用SameSite=None设置的,但没有Secure。Chrome的未来版本只有在标记为SameSite=None的cookies也被标记为Secure的情况下才会发布。您可以在Application>Storage>Cookies下查看开发人员工具中的cookies,并在上查看更多详细信息。
我不知道怎么解决这个问题。我正在做下一段代码来加载一个url,我如何解决这个问题呢?
private void initWebView(String
浏览 2提问于2019-11-07得票数 1
我试图显式地将cookie的SameCookie属性设置为None。
我尝试这样做的方式是像这样设置CookieOptions的属性值:
var options = new CookieOptions
{
SameSite = SameSiteMode.None
};
(为简洁起见省略的其他属性)
但是,当我检查服务器响应头(其中服务器应该用SameSite=None设置cookie )时,我可以看到SameSite被省略了。相反,我可以看到价值,过期,路径甚至安全明确声明。
如果我将SameSite在C#代码中设置为宽松或严格,我可以看到它显式地包含在see头中。如果我把它设为零-我
浏览 6提问于2019-07-11得票数 9
回答已采纳
我有一个带有.NETFramework 4.6的asp.net mvc4应用程序,带有AzureAD身份验证和OpenID连接协议。现在,随着Chrome80 SameSite=None更新的最新更新,应用程序身份验证失败。
下面是测试说明:
我使用了下面提到的使用URLRewrite模块设置SameSite=None的文章:
<system.webServer>
<rewrite>
<outboundRules>
<rule name="Remove Server Header">
浏览 65提问于2020-02-14得票数 0
最近,samesite=lax自动添加到我的会话cookie!这个属性只是添加到sessionID:"Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**"中
我的网站托管在IIS8.5,Windows2012 R2上,没有WAF或UrlRewrite,我关闭了AntiVirus (kasper)。
但在某些客户服务器上也存在同样的问题。
知道吗?
编辑:我发现这个:
ASP.NET现在将在SameSite值为“None”时发出SameSite co
浏览 33提问于2019-11-30得票数 33
回答已采纳
我使用iframe将网站aaa.com中的内容显示到bbb.com中,用户可以在其中注册并登录以下载pro文档。 现在,Chrome屏蔽了所有没有"Samesite=None;Secure“属性的bbb.com,用户不能再从网站cookie注册或登录 我尝试过插件SameSite Cookies,但它破坏了站点aaa.com上的登录和注册,并且没有更改站点bbb.com的任何内容 因此,我的问题是:如果我将所有cookie都设置为"SameSite=None;Secure“属性,您认为用户可以在同源(aaa.com)和跨源(bbb.com)场景中登录和注册吗? 如果没有,你有
浏览 54提问于2020-08-20得票数 2
1回答
我正在为苹果设置OAuth2,如果包含某些作用域(例如电子邮件地址),则需要对回调URL作出POST响应。
我想要预防CSRF的过程:
把曲奇和现在放在一起。
使用OAuth2重定向到state=<nonce>提供程序。
OAuth2提供程序重定向到使用当前的回调。
检查cookie值和当前值。
问题
SameSite=Strict和SameSite=Lax都阻止cookie,因此SameSite=None是唯一可配置的选项。如果我另外验证POST回调请求的来源是苹果供应商的来源,这是否合理,以防止CSRF?还有什么其他攻击可以规避这一策略呢?
浏览 0提问于2022-05-29得票数 0
回答已采纳
我在IIS上使用MVC5和.NET框架4.8。我安装了最新的质量汇总(1),这应该是解决一些问题的类似饼干。
我创建三个cookie,如下所示:
var now = DateTime.Now.ToLongTimeString();
var expiry = now.AddSeconds(30);
var cookieSameSiteNone = new HttpCookie("My.SameSite.None", $"sameSite None [{now}]")
{
Secure = true,
SameSite = SameSiteMode
浏览 0提问于2020-02-06得票数 0
我在的iframe中加载了.NET MVC应用程序。最初,用户将打开主页。主控制器重定向到登录页面:
return RedirectToAction("Index", "Login", new { returnUrl = redirectURL, error = errorMessage });
在此更新之前,在没有指定或未指定时添加SameSite=Lax之前,这是正常的。然后,我在web配置中添加了出站规则以发送SameSite=None;Secure。
<rewrite>
<outboundRules>
浏览 2提问于2020-02-05得票数 1
回答已采纳
我的cookie中没有一个具有SameSite属性集。我刚刚注意到火狐DevTools控制台为我的网站显示了以下警告:
Cookie “PHPSESSID” will be soon rejected because it has the “SameSite” attribute set to “None” or an invalid value, without the “secure” attribute. To know more about the “SameSite“ attribute, read https://developer.mozilla.org/docs/Web/HTT
浏览 4提问于2021-06-14得票数 0
回答已采纳
1回答
我的应用程序创建时,角形和快速箱工作良好,直到我有一些问题的饼干。
我有警告信息:
与的资源关联的cookie是用SameSite=None设置的,但没有Secure。Chrome的未来版本只有在标记为SameSite=None的cookies也被标记为Secure的情况下才会发布。您可以在Application>Storage>Cookies下查看开发人员工具中的cookie,并在上查看更多详细信息。
要将cookie设置为安全,必须使用https,但我只是在开发中,所以必须使用localhost。设置SameSite=None和secure=false时,尝试从后端获取数据时
浏览 3提问于2020-08-03得票数 1
当我做secure=false和SameSite=none时,我没有看到安全问题。如果通过http发送敏感cookie,任何人都可以拦截它,并在自己的计算机上伪造请求。当然,因为是他们自己的电脑,他们可以通过欺骗的来源绕过SameSite。因此,SameSite=Strict不提供任何保护,如果secure=false。我不明白为什么不允许设置secure=false和SameSite=none。
浏览 2提问于2022-08-03得票数 -1
我对我的web.config做了以下更改,并且能够使用samesite=none和secure服务器进行身份验证和会话cookie。
问题在于,对于诸如Chrome51-66这样的浏览器,发送samesite=none会使cookie无效,然后用户就没有会话,并且无法登录。
是否有一种方法可以扩展创建那些cookie的类,或者有条件地根据browser/useragent设置samesite参数的其他方式?
<system.web>
<httpCookies sameSite="None"/>
<sessionState cooki
浏览 0提问于2020-01-24得票数 3
回答已采纳
1回答
我正在为几个已部署的应用程序处理我的头,我将一个"Set-Cookie“属性附加到我的服务器到我的客户端的响应(两个单独的托管域)。我看到剧组的琦琦在网络反应中回来了。它在本地工作很好,但是,我得到一个错误附加在"Set-Cookie“属性⚠️上。
Set-Cookie没有指定"SameSite“属性,默认为"SameSite=Lax”,因为它来自跨站点响应,而不是对顶级导航的响应。Set-Cookie必须与"SameSite=None“一起设置,以启用跨站点使用。
我试过几个不同的语法来达到这个目的,但到目前为止我失败了……
到目前为止我已经试
浏览 3提问于2021-01-10得票数 1
回答已采纳
1回答
我有一个内部的WordPress网站,我试图通过iFrame嵌入。目前,我被困在:
错误:您的浏览器阻止或不支持Cookie。必须启用cookies才能使用WordPress。
我尝试将以下内容添加到我的.htaccess中:
Header set Access-Control-Allow-Origin https://parent.com
Header set X-Frame-Options ALLOWALL
Header always edit Set-Cookie (.*) "$1;Secure;SameSite=none"
ForceSecureCookie se
浏览 0提问于2023-04-16得票数 0
回答已采纳
我正在尝试让这行代码在JS中工作: document.cookie = cname+ "=" +cvalue+ ";" +expires+ " ;path=/; Secure; SameSite=strict"; 当我尝试这样做时,我得到以下控制台输出: Cookie“cookieName”很快就会被拒绝,因为它的“SameSite”属性设置为“None”或没有“secure”属性的无效值。 我没有使用secure with None,我对SameSite使用secure with Strict。这里到底是怎么回事,我能不能使用samesit
浏览 57提问于2020-09-22得票数 2
我们正在尝试在iframe中打开的shopify应用中设置samesite=none;secure,但是我们意识到它被google chrome屏蔽了。 我们正在测试chrome 80测试版 我们尝试了javascript和php,但都不起作用。应用程序是嵌入式应用程序,在iframe中加载这里是php代码 header('Set-Cookie: nameee=value; Max-Age=100; Domain=xyyyyy.com; Path=/; SameSite=None; secure;'); 我们也尝试了java脚本。 document.cookie = &
浏览 46提问于2020-01-31得票数 3
回答已采纳
由于7月份Chrome的变化,我需要修改我的应用程序,以显式地提供SameSite=None键值。这是因为RFC以一种影响更大的方式来处理没有此设置的情况,如果它是存在的,但设置为无。
但是,在set_cookie方法中,samesite参数默认为None,这导致它没有被写入set-cookie。我如何将它强制到响应的set-cookie部分?
当我尝试用以下代码设置samesite=None时
resp.set_cookie('abcid', 'Hello', domain=request_data.domain, path='/', same
浏览 1提问于2019-06-30得票数 19
我已经在互联网上搜寻过,试图找到将SameSite设置为none的正确方法。 我在PHP 7.4.2 (CLI)我也需要在PHP 7.3和更低的版本上工作。 这些是我到目前为止尝试过的 //1
setcookie($name, $value, ['secure' => true, 'samesite' => 'None']);
//2
setcookie($name, $value, [
'expires' => $expire,
'path' => '',
浏览 87提问于2020-10-13得票数 0
回答已采纳
是否可以在Spring中设置标志?
我的Chrome问题:
与的跨站点资源关联的cookie是在没有SameSite属性的情况下设置的。Chrome的未来版本只有在SameSite=None和Secure的情况下,才会提供带有跨站点请求的cookie。您可以在Application>Storage>Cookies下查看开发人员工具中的cookie,并在和上查看更多详细信息。
如何解决这个问题?
浏览 32提问于2019-10-15得票数 22
我希望使用tomcat 6和apache服务器配置SSL,使用tomcat连接器mod_jk。我对这件事很陌生,所以请容忍我。
我使用keystore文件在tomcat中购买和配置了SSL证书。如果直接通过https访问tomcat,它将非常有效。现在我需要在tomcat前面使用apache,我的问题是,我需要同时提供tomcat和apache的证书还是只提供tomcat的证书?apache不是应该将请求传递给tomcat (使用JkExtractSSL)并让它处理ssl身份验证(证书的验证)吗?
如果需要在apache和tomcat中配置证书路径,那么我有cert.p7b和certreq.c
浏览 0提问于2012-08-17得票数 1
回答已采纳
在Google中,我收到了这样的警告:“在没有SameSite属性的情况下,设置了与跨站点资源相关的cookie”。它已经被阻止了,因为Chrome现在只提供带有跨站点请求的cookie,如果它们是用SameSite=None和Secure设置的。我在Application>Storage>Cookies下验证了相同的内容,我发现相同的站点是“空白/空”的,我想将其更新为“无”。
尝试了其他开发人员提到的一些方法,但是似乎没有什么适合我。
实现1:用下面提到的代码更新我的web.config
<sessionState cookieSameSite="None"
浏览 3提问于2020-04-03得票数 0
回答已采纳
我客户的网站在Chrome上收到了这些SameSite饼干警告。我已经搜遍了所有的地方,我无法让警告消失。cookies是由于谷歌广告转换跟踪在Wordpress网站上。出于兼容性原因,该站点位于Apache2.4.7 (Ubuntu)上,由运行PHP7.1的DreamHost托管。在我的.htaccess文件中,我尝试添加:
Header always edit Set-Cookie (.*) "$1; SameSite=None"
我试过
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
...and我试过了
Header a
浏览 3提问于2019-10-13得票数 18
回答已采纳
我有一个自定义端点,它使用以下代码将值存储在会话cookie中:
$session = $this->request->getCurrentRequest()->getSession();
$session->set('test.email', $data['email']);
我从一个解耦的前端调用这个端点。
这在火狐中很好,但在Chrome中,由于SameSite设置为Lax,会话cookie似乎被阻塞了。我如何将SameSite设置为零?理想情况下,我只想做这个饼干,而不是所有的曲奇。
浏览 0提问于2023-01-25得票数 2
4回答
我对铬和SameSite有问题。我在shopify iframe中提供一个网页,当使用烧瓶登录设置会话时,chrome告诉我如下:
在没有SameSite属性的情况下,设置了与位于URL的跨站点资源关联的cookie。它被阻止了,因为Chrome现在只提供带有跨站点请求的cookie,如果它们是用SameSite=None和Secure设置的。
安全设置,但我尝试以所有可能的方式设置SameSite,但没有效果。
我试着设置
App.config‘’SESSION_COOKIE_SAMESITE‘= "None“
我试过了,改变了库的行为,我厌倦了在set_cookie
浏览 5提问于2020-07-20得票数 7
我有一个asp.net MVC应用程序,我想为应用程序设置所有cookies sameSite=None。我已经在web.config中设置了下面的行,但是应用程序设置了没有SameSite=None的cookie。我在web.config中添加了以下两种配置。请参阅下面的屏幕截图,.AspNet.ApplicationCookie和__RequestVerificationToken cookie都放置在没有sameSite=None的地方。请帮帮忙。
<system.web>
<httpCookies requireSSL="true"/&
浏览 0提问于2020-08-17得票数 3
我知道cookie的行为是从chrome 80改变的。
这个博客说,“当SameSite=None属性出现时,必须使用额外的安全属性,这样跨站点cookie只能通过HTTPS连接访问。”这是否意味着其SameSite=None和Secure=False将被Chrome拒绝的cookie?我们就不能做这样的饼干吗?
我不能那样读。
然而,在这个博客中所写的测试方式中,描述说“它将被拒绝”。
没有 SameSite的饼干必须是安全的
如果启用,没有SameSite限制的cookie也必须是安全的。如果没有SameSite限制的cookie在没有安全属性的情况下被设置,它将被拒绝。只有在启用“默
浏览 5提问于2020-03-09得票数 4
回答已采纳
我正在处理的web应用程序的一部分与我无法控制的另一个web应用程序集成在一起。这种集成已经停止了最近对SameSite cookie属性的强制执行。为了使这个集成重新开始工作,我的JSESSIONID cookie需要有SameSite=None属性集,以及安全性(原因很明显)。
我和我的团队已经决定让Apache Server处理这个案例,这部分时间起作用。
另外,我们还决定为所有cookies设置SameSite=Strict,不包括那些应该设置为SameSite=None的cookie。
这是我的cookies.conf,包含在我的apache2.conf (名称被位置持有者替换)中:
浏览 0提问于2020-11-09得票数 1
我正在使用Django GraphQL JWT Library和Django GraphQL Auth 我一直收到这个错误google chrome error 在http://localhost:3000/和https://localhost:3000/上使用此react代码(针对相关性进行了修剪) const [login] = useMutation(LOGIN_MUTATION, {
variables: {
email: email,
password: password
},
浏览 42提问于2021-08-16得票数 0
回答已采纳
我正在使用第三方的js脚本。第三方脚本设置cookie,但没有将它们设置为samesite=none和secure。这是有问题的,因为稍后会向该第三方发出呼叫。我在chrome开发者面板上看到“问题”,上面写着Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute。它告诉我,因为默认情况下sameSite属性为Lax,所以从每个请求中过滤出了18个cookie。
问:有没有办法更新给定域下的所有cookie,并将它们的sameSite属性设置为None?
浏览 5提问于2021-02-15得票数 2
我试图通过为会话cookie添加安全标志。代码正在工作,但当我试图将其包装在IF子句中以运行此代码时,当主机来自acstest.com时,代码将不会编译。运行apacheclt -t时出现语法错误
<If "%{HTTP_HOST} =~ '\.acstest\.com'">
Header edit Set-Cookie ^ACIJSESSIONID=(.*)$ "CHIJSESSIONID=$1; Secure; SameSite=None"
Header edit Set-Cookie ^JSESSIO
浏览 11提问于2022-03-06得票数 1
为了设置cookie,我有一个带有以下代码的快捷API:
...
res.setHeader("Access-Control-Allow-Origin", ip);
res.cookie(name, token, { maxAge: 30000, httpOnly: true, secure: false, sameSite: "Lax" });
...
另一个清理饼干:
...
res.clearCookie(name);
...
当我执行第二个错误消息时,我收到以下错误消息: Cookie“cookieName”将很快被拒绝,因为它将“sameSite”属性
浏览 0提问于2020-05-21得票数 3
回答已采纳
我需要在Nginx中设置SameSite=none值。
如果使用Nginx作为主work服务器和非反向代理,下面的配置会工作吗?
服务器内部的
块
location {
proxy_cookie_path ~(.*) "$1; SameSite=none; secure; httponly";
}
浏览 0提问于2020-04-03得票数 1
我有一个完全工作的setcookie() php函数,使用这些参数运行.
<?php
setcookie(
'_siteauth',
Crypt::encrypt(site()->password),
time() + 86400,
'/',
);
?>
上面的代码每次都没有问题地设置一个cookie!
但一旦我尝试使用samesite选项,cookie就不会设置.这是个问题。
我不是在iFrame中运行这个。我正在测试这个在本地使用dockers wordpress映像,我不认为这是一个问题。
起初,在进行了所有的在线阅
浏览 3提问于2021-10-31得票数 3
回答已采纳
1回答
我在我的控制台上收到了以下消息。我该如何解决这些问题?
A cookie associated with a cross-site resource at http://widgets.wp.com/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in de
浏览 16提问于2019-11-06得票数 0
回答已采纳
web服务环境由Windows 2012 server、IIS8.5、Classic asp操作。
这是关于Chrome80ver SameSite的问题。
在我们的网站上,我们通过调用iframes付款,并通过返回托儿所接收结果。但是,返回过程中存在一个问题,即更改现有会话值(有时维护会话值,有时更改会话值)。
我先试过了。在源代码中添加标题,如下所示
Response.AddHeader "Set-Cookie", "SameSite=None; Secur; path=/; HttpOnly"
第二。添加web.config
<system.web
浏览 3提问于2020-03-04得票数 2
我有一个以Cordova为基础的webview应用程序作为辅助界面的Laravel 7应用程序。为了支持来自应用程序的跨域请求,我不能使用严格或宽松的SameSite策略。
显然,Chrome已将cookie samesite默认值更改(并暂时回滚)为lax。这意味着我应该将SameSite策略设置为none。
但是如果我将我的SameSite策略设置为none,那么旧的就会认为没有一个意味着严格。我的应用程序不能在这些设备上工作。这意味着我根本不应该设置SameSite?(Laravel设置空)
我应该做些什么,这样我就可以同时使用旧的Safari浏览器和新的Chrome浏览器了?Larav
浏览 8提问于2020-04-08得票数 0
回答已采纳
1回答
登录Facebook后,我收到了使用driver.get_cookies()方法的cookie
输出:
[{'domain': '.facebook.com', 'expiry': 1609944355, 'httpOnly': True, 'name': 'fr', 'path': '/', 'sameSite': 'None', 'secure': True, 'value': '19KsJJ
浏览 0提问于2020-10-09得票数 1
回答已采纳
显然,我在理解跨域环境中关于CSRF参数的Django (2.2.4)设置的影响时遇到了一个问题。
正如我已经注意到的,如果我想要将我的Django应用程序放入另一个域名的网站的iframe中(例如,foo.com上的Django应用程序和bar.com上的iframe ),以便在我的Django应用程序上发送表单,我必须设置SESSION_COOKIE_SAMESITE = None。
但是,CSRF参数是什么呢?经过一些试验,我注意到只有在Django设置中设置了CSRF_COOKIE_SAMESITE = None的情况下,我才能在iframe中发送Django表单。
但是CSRF_TR
浏览 136提问于2019-08-20得票数 3
我在AWS上运行了jupyterhub(TLJH)。它是在我的网站上使用iframe。由于最新的chrome更新,"SameSite“cookie属性导致了以下问题。下图显示了我在Iframe中看到的内容。
下面是我在控制台中收到的警告:
与的跨站点资源关联的cookie是在没有SameSite属性的情况下设置的。Chrome的未来版本只有在SameSite=None和Secure的情况下,才会提供带有跨站点请求的cookie。您可以在Application>Storage>Cookies下查看开发人员工具中的cookie,并在和上查看更多详细信息。
当我
浏览 7提问于2020-03-24得票数 0
我试图嵌入我的角度应用程序到另一个网站通过iframe。在我的角度应用程序中,我正在设置cookie,所以当我尝试将角应用程序嵌入到我的另一个站点时,Devtools显示了一个问题,它告诉我,samesite=none没有被设置,因此正在使用默认的samesite=lax,这就阻止了角度应用程序设置cookies。
之后,我尝试在响应头中设置条目" set -cookie: samesite=none;secure",但没有成功。正如您在下面的屏幕截图中所看到的,浏览器仍然使用“同一个站点=lax”。
这个问题发生在Chrome和Edge(Chromium)上,而在Firefo
浏览 5提问于2021-11-26得票数 0
回答已采纳
我有一个Node.js,角应用程序。(Node.js服务器用TypeScript编写)。Node.js服务器运行在Amazon 2实例上,角客户端在另一台服务器上.
用于登录会话,我使用快速会话。我没有在应用程序中使用cookie,所以我认为问题在于快速会话cookie。火狐上的正常工作,但对于Google (80.0.3987.149),它不起作用: Chrome不保存会话(所以我不能离开登录页面)并警告:
与上的跨站点资源关联的cookie是在没有SameSite属性的情况下设置的。它已经被阻止了,因为Chrome现在只提供带有跨站点请求的cookie,如果它们是用SameSite=Non
浏览 2提问于2020-04-04得票数 6
我无法阻止这个警告,尽管我已经设置了node express cookie。 Cookie “connect.sid” will be soon rejected because it has the “sameSite” attribute set to “none” or an invalid value, without the “secure” attribute. To know more about the “sameSite“ attribute, read https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cook
浏览 16提问于2020-06-09得票数 0
我有一个socket.io应用程序,最近我收到了这样的警告:
在没有SameSite属性的情况下,设置了与位于URL的跨站点资源关联的cookie。Chrome的未来版本只有在SameSite=None和Secure的情况下,才会提供带有跨站点请求的cookie。
您可以在Application>Storage>Cookies下查看开发人员工具中的cookie,并在和.`上查看更多详细信息。
很显然,这是Chrome将来将更新的东西:
我已经尝试过,但没有明显的效果:io = io.listen(server, { cookie: false });
我认为cookie没有
浏览 1提问于2019-10-25得票数 12
我是一个前端开发人员,在开发一个应用程序时,login/响应会在客户端上放置一个会话Cookie。之后的请求将被授权,因为用户“登录”。
从Chrome 80开始
所有没有SameSite属性的cookie都将被视为指定了SameSite=Lax。换句话说,它们将仅限于第一方(服务器和客户端在同一域中)。如果您需要第三方cookie(不同域上的服务器和客户端),则必须用SameSite=None标记它们。
在默认情况下仅限于第一当事方
Set-Cookie: cname=cvalue; SameSite=Lax
允许在第三方上下文中
Set-Cookie: cname=cvalue; Same
浏览 6提问于2021-06-03得票数 25
我正在使用Apache开发一个基于EJB的EJB服务,用于用户访问管理。我将Apache的版本1.5.0添加到我的Maven项目中,以使用新的sameSite cookie属性。然后,我将sameSite属性的配置添加到shiro.ini文件中:
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
# configure properties (like session timeout) here if desired
sessionManager.sessionIdCookieEnabled =
浏览 9提问于2020-01-27得票数 3
我必须将cookie设置为samesite = none和secure = true,作为我的3D付费URL。我花了很多时间来解决问题。我该怎么做呢?
PHP的简单示例
setcookie('cross-site-cookie', 'bar', ['samesite' => 'None', 'secure' => true]);
我在Beego中尝试过这个方法:
beego.BConfig.WebConfig.Session.SessionCookieSameSite = http.SameSiteNo
浏览 8提问于2021-03-01得票数 0
如何求解SameSite属性? :1在没有SameSite属性的情况下设置了与http://doubleclick.net/上的跨站点资源关联的cookie。如果设置了SameSite=None和Secure,Chrome的未来版本将只提供跨站点请求的cookies。您可以在Application>Storage>Cookies下的开发人员工具中查看cookies,并在https://www.chromestatus.com/feature/5088147346030592和https://www.chromestatus.com/feature/5633521622188032
浏览 20提问于2019-10-08得票数 23
这段代码this.afAuth.auth.signInWithPopup(new auth.GoogleAuthProvider()在Chrome上生成此警告:
与的资源关联的cookie是用SameSite=None设置的,但没有Secure__。Chrome的未来版本只有在SameSite=None和Secure__设置好的情况下,才会提供带有跨站点请求的cookie。
浏览 1提问于2019-10-03得票数 15
我正在尝试设置samesite none;使用java过滤器为jsessionid cookie设置安全。我在响应集cookie header.After中添加了这个项,这个更改请求cookie jsessionId是相同的。在响应中,jsessionId被修改为Samesite属性None和secure。如果请求jsessionId cookie保持不变,它会工作吗?
浏览 3提问于2020-09-25得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
