前后端分離--跨域問(wèn)題--Cookie SameSite(一)

一、SameSite Cookie 簡(jiǎn)介

SameSite-cookies是一種機(jī)制,用于定義cookie如何跨域發(fā)送。這是谷歌開(kāi)發(fā)的一種安全機(jī)制,并且現(xiàn)在在最新版本(Chrome Dev 51.0.2704.4)中已經(jīng)開(kāi)始實(shí)行了。SameSite-cookies的目的是嘗試阻止CSRF(Cross-site request forgery 跨站請(qǐng)求偽造)以及XSSI(Cross Site Script Inclusion (XSSI) 跨站腳本包含)攻擊。

二、語(yǔ)法

語(yǔ)法是SameSite=<value>, 例如SameSite=Lax

  1. Strict
    Strict是最嚴(yán)格的防護(hù),有能力阻止所有CSRF攻擊。然而,它的用戶(hù)友好性太差,因?yàn)樗赡軙?huì)將所有GET請(qǐng)求進(jìn)行CSRF防護(hù)處理。
    例如:一個(gè)用戶(hù)在reddit.com點(diǎn)擊了一個(gè)鏈接(GET請(qǐng)求),這個(gè)鏈接是到facebook.com的,而假如facebook.com使用了Samesite-cookies并且將值設(shè)置為了Strict,那么用戶(hù)將不能登陸Facebook.com,因?yàn)樵赟trict情況下,瀏覽器不允許將cookie從A域發(fā)送到B域。
  2. Lax
    Lax(relax的縮寫(xiě)?)屬性只會(huì)在使用危險(xiǎn)HTTP方法發(fā)送跨域cookie的時(shí)候進(jìn)行阻止,例如POST方式。
    例1:一個(gè)用戶(hù)在reddit.com點(diǎn)擊了一個(gè)鏈接(GET請(qǐng)求),這個(gè)鏈接是到facebook.com的,而假如facebook.com使用了Samesite-cookies并且將值設(shè)置為了Lax,那么用戶(hù)可以正常登錄facebok.com,因?yàn)闉g覽器允許將cookie從A域發(fā)送到B域。
    例2:一個(gè)用戶(hù)在reddit.com提交了一個(gè)表單(POST請(qǐng)求),這個(gè)表單是提交到facebook.com的,而假如facebook.com使用了Samesite-cookies并且將值設(shè)置為了Lax,那么用戶(hù)將不能正常登陸Facebook.com,因?yàn)闉g覽器不允許使用POST方式將cookie從A域發(fā)送到B域。

三、SpringWeb

spring web 最新版默認(rèn)生成為SameSite=Lax,奇怪的是用spring data Session redis 后 cookie新增了 SameSite這個(gè)字段,所以不能攜帶cookie進(jìn)行跨域post訪問(wèn),文檔上也不表明什么時(shí)候開(kāi)始的,坑的是默認(rèn)為L(zhǎng)ax也不能設(shè)置,遂現(xiàn)在將web版本降級(jí)。
因?yàn)榉?wù)端返回給客戶(hù)端的set-cookie中帶有samesite=lax,這就是問(wèn)題的根源,它表示不能攜帶cookie進(jìn)行跨域post訪問(wèn),然而我們是需要攜帶cookie的。
解決辦法:

  1. 后端配置
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;
    @Bean
    public CookieSerializer httpSessionIdResolver() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        // 取消僅限同一站點(diǎn)設(shè)置
        cookieSerializer.setSameSite(null);
        return cookieSerializer;
    }

并設(shè)置:

response.setHeader("Access-Control-Allow-Credentials", "true");
或
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
//        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedOrigin("http://localhost:8088");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);    // true代表允許攜帶cookie
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // “*”代表全部?!?*”代表適配所有接口。
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
  1. 前端ajax請(qǐng)求:
    添加:
xhrFields: {
    withCredentials: true
}
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容