共计 1292 个字符,预计需要花费 4 分钟才能阅读完成。
一、背景
忽然本地启动的利用通过公司 SSO 登录后仍旧拿不到登录态信息,前两天还好好啊,排查发现保留登录态的 cookie 减少了 Secure 属性:
set-cookie: ticket=86A24; Max-Age=7775999; Domain=test.com; Path=/;HttpOnly; SameSite=None; Secure咦?平台团队怎么忽然加了 Secure 属性,并且 SameSite=None; 又是啥?
二、Cookie 的 SameSite 属性
2.1 先弄清几个概念
同站(Same Site)和跨站(Cross Site)
同站:顶级域名 +1雷同(即主域雷同)的站点(跟端口无关),也叫本方(First-party);
跨站:非同站,也叫第三方(Third-party)。
同源(Same Origin)和跨域(Cross Origin)
同源:协定(https?)+域名 + 端口 三者完全相同;
跨域:非同源。
跨站申请
首先要明确一个页面援用的内部资源(CSS,JS,图片以及通过 JS API 发送的申请等)可能来自不同的站点。
跟页面不是同站的申请 都是跨站申请。如页面 www.example.com/a 里援用了图片www.baidu.com/image/dog.png,加载图片的申请就是跨站申请。
跨站申请概念是绝对的,如图片 www.baidu.com/image/dog.png 在页面 www.example.com/a 里是跨站申请,然而在 www.baidu.com/a 页面里是同站申请。
2.2 干嘛的?
SameSite属性就是管制哪些跨站申请能够携带 cookie。
- 解决
cookie信息泄露; - 进攻
CSRF攻打。
2.3 语法
SameSite=Strict/Lax/None三种取值
- Strict
严格模式,必须同站申请能力发送 cookie。 - Lax (relax 缩写)
宽松模式,平安的跨站申请 能够发送 cookie。 - None
显示地禁止SameSite限度,必须配合Secure一起应用(浏览器最初的保持)。
平安的跨站申请
比拟难了解的就是 Lax 模式下浏览器视为哪些跨站申请时平安的:
总结下就是同步的 GET 申请
比方通过对 的点击,对 <form> 的 GET 形式提交,还有扭转 location.href,调用 window.open() 等形式产生的申请
SameSite并不影响跨站申请的响应设置 cookie。
2.4 怎么用?
首先看 cookie 怎么用的:
- 对于只须要同站拜访的 cookie 能够显示的指定
SameSite=Lax/SameSite=Strict; - 对于跨站拜访的 cookie 须要显示的指定
SameSite=None; Secure; - 不要采纳
SameSite默认,跨浏览器的默认行为不统一。
三、再看结尾提到的问题:
因为 SSO 登录态 cookie 须要被跨站拜访,所以平台把登录态 cookie 设置成 SameSite=None; Secure。因为本地开发时启动的利用是http 协定的,所以无奈拿到登录态 cookie。
3.1 解决方案
在 DevTool 里手动把登录态 Cookie 的 Secure 属性删掉。
参考
整顿自笔记 Cookie SameSite=none