问题标签 [samesite]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
6589 浏览

google-chrome - 在localhost的情况下如何克服chrome的samesite cookie更新的影响?

我有一个需要从另一个站点进行身份验证才能登录的网站。两者是不同的域。

默认情况下,我从 chrome://flags 启用了相同的站点 cookie 标志。只是为了在我的网站上查看 chrome 的新更新效果如何。

它在我部署的站点中运行良好。但是当我尝试在我的本地主机中运行相同的内容时,我无法登录。我丢失了第三方 cookie。

如果有人解释原因,那就太好了。

0 投票
0 回答
359 浏览

java - 如何在 chrome 80 中允许跨域 cookie

在 Chrome 80 更新中,Crossdomain 中 cookie 中存储的 sessionid 由于相同站点选项而不断变化。我们如何在 java 或服务器环境中处理它?

我期待着您的回音。谢谢你。

0 投票
2 回答
21578 浏览

c# - 在 ASP.NET 中设置 SameSite=None 和 Secure

阅读SameSite为防止跨站点伪造而实施的更改。来源:https ://blog.chromium.org/2019/10/developers-get-ready-for-new.html

我正在尝试将其值设置为“无”并Secure按照宣传的方式使用。

我目前的web.config设置如下:

文档来源: https ://docs.microsoft.com/en-us/dotnet/api/system.web.configuration.sessionstatesection.cookiesamesite?view=netframework-4.8#System_Web_Configuration_SessionStateSection_CookieSameSite

但我仍然收到以下错误:

如何secure在上面的 web.config 文件中指定属性?任何线索将不胜感激。

0 投票
0 回答
1144 浏览

google-chrome - IDX21323 OpenIdConnectProtocolValidationContext.Nonce 为空

尝试在 chrome 80 beta 版本中为同一站点 cookie 问题创建补丁工作

参考https ://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core/

到目前为止完成的步骤:

  1. 升级到 4.1
  2. 将 .net 框架升级到 4.72
  3. 添加了参考链接中提到的 sameCookieManager

启动.cs

它最终在 OnAuthenticationFailed 中出现错误“IDX21323 OpenIdConnectProtocolValidationContext.Nonce 为空,OpenIdConnectProtocolValidatedIdToken.Paylocad.Nonce 不为空”

尝试了以下链接中提到的几种绕过方法,但它不起作用

MVC5 Azure AD IDX21323

0 投票
2 回答
2027 浏览

internet-explorer - 当 SameSite=None 安全时,Internet Explorer/Edge(非 chromium)添加额外的 SameSite=Lax

我在 Microsoft Dynamics 页面的 iframe 中加载了 .NET MVC 应用程序。最初,用户将打开主页。主控制器重定向到登录页面:

在此更新KB4533002 .NET 累积更新之前,这是可以的,当 SameSite 为 None 或未指定时,添加 SameSite=Lax。然后我在 Web 配置中添加出站规则以发送SameSite=None; 安全

这适用于 Chrome、Firefox 和最新的 Edge。

但是 Internet Explorer 和 Edge(不是 Chromium)正在添加额外的 SameSite:

Edge 开发人员工具的屏幕截图

有人知道如何防止这种情况吗?

0 投票
1 回答
3591 浏览

cookies - 查找导致 Chrome 的 SameSite 警告的 cookie

正如你们中的一些人所知,Chrome 将于本月开始使用新的 SameSite cookie 政策(https://web.dev/samesite-cookies-explained/https://www.chromium.org/updates/same-site)。

我们正在为我们的应用程序使用 Auth0,并且自去年年底以来在 Chrome 的控制台中看到了这个 SameCookie 警告:

在此处输入图像描述

现在,由于新政策的推出越来越近,我尝试使用 Chrome 开发人员工具中的应用程序视图找到有问题的 cookie。这是显示的内容:

在此处输入图像描述

如您所见,对于任何 cookie ,都没有SecureSameSize条目。

所以我启用了新政策,看看会发生什么变化。这可以在chrome://flags

在此处输入图像描述

在这些更改之后,我在控制台中看到一条消息,告诉我 cookie 已被阻止。

在此处输入图像描述

但 Chrome 开发者工具中的应用程序视图显示的 cookie 与以前完全相同。

此外,我浏览了开发人员工具网络视图中的每个条目。任何条目都没有Cookie选项卡。

这非常令人沮丧,因为我不知道您被阻止的 cookie 是否与我们的应用程序的功能相关。

有没有办法找出哪个 cookie 被阻止了?Chrome 不能在写入控制台的警告中提及 cookie 吗?

0 投票
2 回答
2461 浏览

reactjs - 如何使用带有 msal 身份验证的 React 应用程序在 Chrome 中删除有关同一站点的警告

我们有一个反应应用程序,我们正在对 AAD 使用 msal 身份验证。用户第一次登录应用程序并调用acquireTokenSilent获取令牌时,我们会收到此警告

在此处输入图像描述

我们试图打电话: document.cookie = "cross-site-cookie=bar, SameSite=None, Secure";

但我们继续收到此警告。

当应用程序部署在 azure 服务中时,情况会更糟。 acquireTokenSilent返回一个ClientAuthError Token renewal operation failed due to time out。如果用户刷新页面,则它会获取令牌并且警告消失。

我们如何才能删除此警告?我们得到的是否ClientAuthError与此警告有关(仅在我们收到此警告后才会发生)?

0 投票
1 回答
1093 浏览

google-chrome - Chrome 80 允许不安全的 SameSite=None cookie

我最近升级到 Chrome 80 并在chrome://flags. 在本地开发时,我的服务器框架设置为发出具有该SameSite=None属性的身份验证 cookie。暂时我没有启用 SSL。

现在我想知道,Chrome 怎么会允许这些,因为如果我正确理解了政策,那么SameSite=None无论环境如何,所有 cookie 都必须是安全的?

在此处输入图像描述

在此处输入图像描述

0 投票
1 回答
532 浏览

asp.net-mvc - SameSite=Lax 属性仅适用于 ASP.NET MVC 中的会话 cookie

我正在使用该解决方案将 SameSite 属性设置为来自此 SoF 答案的所有 cookie:https ://stackoverflow.com/a/38957177/2803237

必须通过 URL 重写来完成,现在无法升级到 ASP.NET 4.7.2 - 仍在使用 4.6.1。

因此,当我只是从答案中复制它(使用 SameSite=Strict)时,它可以工作并将我的所有 cookie 设置为 Strict。但是,如果我将其设为 Lax,则只有 Session 会得到 Lax,设置了到期日期的会保留在 SameSite=Unset 中。

这可能是什么原因?

饼干截图

0 投票
2 回答
5488 浏览

jquery - 有没有办法在 jquery 中将 samesite 值添加到 cookie 中?

我一直在尝试一些语法变体,以尝试让 cookie 使用相同的站点值进行更新,并出现在 chrome devtools 中,就像他们为来自 chrome的https://samesite-sandbox.glitch.me/所做的那样。

它们似乎都不起作用,使用 = 而不是 : 会导致错误,更改相同站点的大小写似乎也不起作用。

我根本无法在网上找到有关此的任何信息。当前的 Jquery 版本是 1.12.1