问题标签 [samesite]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-chrome - 在localhost的情况下如何克服chrome的samesite cookie更新的影响?
我有一个需要从另一个站点进行身份验证才能登录的网站。两者是不同的域。
默认情况下,我从 chrome://flags 启用了相同的站点 cookie 标志。只是为了在我的网站上查看 chrome 的新更新效果如何。
它在我部署的站点中运行良好。但是当我尝试在我的本地主机中运行相同的内容时,我无法登录。我丢失了第三方 cookie。
如果有人解释原因,那就太好了。
java - 如何在 chrome 80 中允许跨域 cookie
在 Chrome 80 更新中,Crossdomain 中 cookie 中存储的 sessionid 由于相同站点选项而不断变化。我们如何在 java 或服务器环境中处理它?
我期待着您的回音。谢谢你。
c# - 在 ASP.NET 中设置 SameSite=None 和 Secure
阅读SameSite
为防止跨站点伪造而实施的更改。来源:https ://blog.chromium.org/2019/10/developers-get-ready-for-new.html
我正在尝试将其值设置为“无”并Secure
按照宣传的方式使用。
我目前的web.config
设置如下:
但我仍然收到以下错误:
如何secure
在上面的 web.config 文件中指定属性?任何线索将不胜感激。
google-chrome - IDX21323 OpenIdConnectProtocolValidationContext.Nonce 为空
尝试在 chrome 80 beta 版本中为同一站点 cookie 问题创建补丁工作
参考:https ://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core/
到目前为止完成的步骤:
- 升级到 4.1
- 将 .net 框架升级到 4.72
- 添加了参考链接中提到的 sameCookieManager
启动.cs
它最终在 OnAuthenticationFailed 中出现错误“IDX21323 OpenIdConnectProtocolValidationContext.Nonce 为空,OpenIdConnectProtocolValidatedIdToken.Paylocad.Nonce 不为空”
尝试了以下链接中提到的几种绕过方法,但它不起作用
internet-explorer - 当 SameSite=None 安全时,Internet Explorer/Edge(非 chromium)添加额外的 SameSite=Lax
我在 Microsoft Dynamics 页面的 iframe 中加载了 .NET MVC 应用程序。最初,用户将打开主页。主控制器重定向到登录页面:
在此更新KB4533002 .NET 累积更新之前,这是可以的,当 SameSite 为 None 或未指定时,添加 SameSite=Lax。然后我在 Web 配置中添加出站规则以发送SameSite=None; 安全。
这适用于 Chrome、Firefox 和最新的 Edge。
但是 Internet Explorer 和 Edge(不是 Chromium)正在添加额外的 SameSite:
有人知道如何防止这种情况吗?
cookies - 查找导致 Chrome 的 SameSite 警告的 cookie
正如你们中的一些人所知,Chrome 将于本月开始使用新的 SameSite cookie 政策(https://web.dev/samesite-cookies-explained/和https://www.chromium.org/updates/same-site)。
我们正在为我们的应用程序使用 Auth0,并且自去年年底以来在 Chrome 的控制台中看到了这个 SameCookie 警告:
现在,由于新政策的推出越来越近,我尝试使用 Chrome 开发人员工具中的应用程序视图找到有问题的 cookie。这是显示的内容:
如您所见,对于任何 cookie ,都没有Secure或SameSize条目。
所以我启用了新政策,看看会发生什么变化。这可以在chrome://flags
在这些更改之后,我在控制台中看到一条消息,告诉我 cookie 已被阻止。
但 Chrome 开发者工具中的应用程序视图显示的 cookie 与以前完全相同。
此外,我浏览了开发人员工具网络视图中的每个条目。任何条目都没有Cookie选项卡。
这非常令人沮丧,因为我不知道您被阻止的 cookie 是否与我们的应用程序的功能相关。
有没有办法找出哪个 cookie 被阻止了?Chrome 不能在写入控制台的警告中提及 cookie 吗?
reactjs - 如何使用带有 msal 身份验证的 React 应用程序在 Chrome 中删除有关同一站点的警告
我们有一个反应应用程序,我们正在对 AAD 使用 msal 身份验证。用户第一次登录应用程序并调用acquireTokenSilent
获取令牌时,我们会收到此警告
我们试图打电话: document.cookie = "cross-site-cookie=bar, SameSite=None, Secure";
但我们继续收到此警告。
当应用程序部署在 azure 服务中时,情况会更糟。 acquireTokenSilent
返回一个ClientAuthError Token renewal operation failed due to time out
。如果用户刷新页面,则它会获取令牌并且警告消失。
我们如何才能删除此警告?我们得到的是否ClientAuthError
与此警告有关(仅在我们收到此警告后才会发生)?
asp.net-mvc - SameSite=Lax 属性仅适用于 ASP.NET MVC 中的会话 cookie
我正在使用该解决方案将 SameSite 属性设置为来自此 SoF 答案的所有 cookie:https ://stackoverflow.com/a/38957177/2803237
必须通过 URL 重写来完成,现在无法升级到 ASP.NET 4.7.2 - 仍在使用 4.6.1。
因此,当我只是从答案中复制它(使用 SameSite=Strict)时,它可以工作并将我的所有 cookie 设置为 Strict。但是,如果我将其设为 Lax,则只有 Session 会得到 Lax,设置了到期日期的会保留在 SameSite=Unset 中。
这可能是什么原因?
jquery - 有没有办法在 jquery 中将 samesite 值添加到 cookie 中?
我一直在尝试一些语法变体,以尝试让 cookie 使用相同的站点值进行更新,并出现在 chrome devtools 中,就像他们为来自 chrome的https://samesite-sandbox.glitch.me/所做的那样。
它们似乎都不起作用,使用 = 而不是 : 会导致错误,更改相同站点的大小写似乎也不起作用。
我根本无法在网上找到有关此的任何信息。当前的 Jquery 版本是 1.12.1