关键词搜索

源码搜索 ×
×

chrome 同站策略(samesite)问题及解决方案

发布2022-06-09浏览23210次

详情内容

一、同站策略问题

chrome自版本80之后,出现了所谓同站策略问题。

即,在A页面请求B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的服务器。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,仿佛这是理所应当,自然而然的,现在好了,chrome区分情况,不一定允许这么干了。

这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们项目来说,原本我们有些WEB项目,会用iframe将其他项目的一些页面嵌进去,看上去就好像同一个系统一样,这叫界面集成吧,很正常的行为。两边项目的自动登录什么的都搞好了,一直运行正常。后来升级了浏览器,发现嵌进去的页面数据出不来。程序没有做任何更改,最后发现是账号登录问题,嵌进去的页面始终处于无法登录状态,从而导致获取不了数据。

具体来说,cookie是由服务器分配给浏览器的,相当于给了浏览器一个访问凭证。浏览器每次访问服务器的时候,都会带上这些个凭证。现在由于浏览器策略改变,嵌进去的页面与服务器交互的时候,无法带上cookie,服务器检索不到这个凭证,就每次都给页面分配一个新的cookie,前后对应不上,当然就登录不了了。

其实,chrome一直有这个同站策略,Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。SameSite可以设置三个值:

Strict
Lax
None

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。

Lax规则稍稍放宽,分情况处理,具体如下
在这里插入图片描述
None的话,就不做是否同站的检查和限制。以前,chrome默认SameSite=None,80版本以后则默认是Lax了。这也是为什么chrome升级以后,程序突然异常的缘故。

二、解决方案

1、修改浏览器设置
这种方法简单粗暴,直接将浏览器的SameSite的属性设置回到以前的None状态。姑且不论用户是否愿意,但单就每台机的浏览器都要进行设置而言,已经违背了BS架构应用的最大优点,就是客户端无须安装部署这一宗旨。所以我觉得这是一个实在没有别的办法的时候,才不得不采取的措施。

设置方法如下:

1)chrome地址栏输入chrome://flags
2)通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关
3)重新启动浏览器

2、Set-Cookie:SameSite=None
就是将response的header设置Set-Cookie:SameSite=None。

Set-Cookie: SameSite=None; Secure
  • 1

Set-Cookie

这里有个疑问,谁来设置这个set-cookie?以上述我们项目为例,A项目的页面用iframe嵌入了B项目的页面,是A项目来设置set-cookie还是B项目?应当是B。因为嵌入的是B项目的页面,response来自B服务器,A使不上劲。

注意必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。这意味着,B项目必须采用https?不过我试了几下,发现没什么效果。也许我的A项目本身是http,需要A和B都为https才可以?不清楚。

不过有个设置 SameSite 为 none的实例。以 Adobe 网站为例:https://www.adobe.com/sea/,查看请求可以看到:
在这里插入图片描述
3、Nginx做网站映射
(我习惯叫映射,但一般叫做转发)
SameSite策略针对的是不同站的请求,同站就没有问题。那么A项目嵌入B项目的页面,将B站点映射为同一个站点不就好了?同站与同源(非跨域)是不一样的,我感觉同站比同源要严格一些。解决同源问题,即跨域问题,顶级域名相同就可以了;同站的话,域名要保持一致,端口可以不一样,所以如果映射为同站,可以域名或IP相同,端口不同。

同站与同源的区别很复杂,可以看看这里。

映射站点的不二选择,当然是Nginx了。比如A项目在我本地,http://localhost:8081,现在嵌入了B项目的页面,B项目地址为http://192.168.0.248:8082/,现在需要映射为http://localhost:8082。

1)新建一个Nginx的配置文件【nginx所在目录】/conf/nginx2.conf

worker_processes  1;

error_log  logs/error.log debug;

events {
    worker_connections  1024;
}

http {
    server {
		listen       8082;  
        server_name  localhost;  
		location / {
			proxy_pass http://192.168.0.248:8082/;
		}
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18

2)运行nginx

nginx.exe -c D:\soft\nginx-rtmp-win32-1.2.1\conf\nginx2.conf
  • 1

映射之后,A项目嵌入的B项目页面改用新地址,浏览器就以为它们是同一站点,放松警惕,该干啥干啥了。

三、总结

谷歌浏览器的这种同站策略是一种傲慢,虽然它也允许B服务器设置SameSite=None,但要跟https绑定。网络有互联网和局域网之分,安全从来都是相对的,要跟付出的代价一起衡量。在局域网中,A、B项目都是自己开发的,嵌入有何不可?https的话,要制作证书,本身是非常繁琐的。幸好其他浏览器还没有跟进。


2022.06.09
采用https的话,就算浏览器无法识别证书,数据仍然是加密传输的,安全可以得到保证。

Cookie 的 SameSite 属性
浏览器系列之 Cookie 和 SameSite 属性

相关技术文章

点击QQ咨询
开通会员
返回顶部
×
微信扫码支付
微信扫码支付
确定支付下载
请使用微信描二维码支付
×

提示信息

×

选择支付方式

  • 微信支付
  • 支付宝付款
确定支付下载