问题标签 [samesite]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
6 回答
264915 浏览

javascript - SameSite 警告 Chrome 77

自上次更新以来,我遇到了与 SameSite 属性相关的 cookie 错误。

cookie 来自第三方开发者(Fontawesome、jQuery、Google Analytics、Google reCaptcha、Google Fonts 等)

Chrome 控制台中的错误是这样的。

我需要在本地机器或服务器上做些什么,或者只是他们应该在未来版本的库中实现的一些功能?

0 投票
1 回答
18609 浏览

google-chrome - 跨站资源在设置时没有 `SameSite` 属性 .NET

SameSite属性怎么解决?

:1 与http://doubleclick.net/上的跨站点资源关联的 cookie设置为没有该SameSite属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None和设置Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。

同样适用于 google.com、linkedin、facebook.com、twitter.com。ETC

无法添加“Samesite”属性。解决此问题的最佳方法是什么?

0 投票
0 回答
1139 浏览

asp.net-core - 如果身份验证 cookie 上的 samesite=strict 禁用防伪令牌是否安全?

根据docs.microsoft.com , ASP.NET 核心实现了 Synchronizer Token Pattern 来缓解 CSRF。

反请求伪造机制有许多影响用户的缺点:

ex 1:登录页面在 2 个选项卡中打开

  • 在两个不同的选项卡中打开登录页面
  • 用户 A 从选项卡 1 记录(无问题)
  • 在不刷新 Tab 2 的情况下,用户 B 尝试登录。

=> 产生一个带有 AntiforgeryValidationException 的 400 页

参考1 , 参考2

ex 2:在 2 个选项卡中打开的表单(来自邮件中的同一链接)

  • 从模板创建一个新的 Asp.Net Core MVC 网站(VS 2019)
  • 创建一个具有简单表单的新页面,该表单在发布时使用 [ValidateAntiForgeryToken] 进行验证。
  • 通过电子邮件向自己发送指向该页面的链接(我使用过 Gmail 和 Mailtrap)
  • 通过正常单击在两个选项卡中打开链接
  • 以任意顺序提交两种表格

=> 首先打开的表单会产生 400 错误

参考

看起来 SameSite=strict 是针对 CSRF 攻击的有效安全措施

根据这篇文章这个 RFC 草案,SameSite cookie 似乎是针对 CSRF 攻击的有效且强大的安全措施。ASP.NET Core 2.2 的身份验证 cookie 配置为 SameSite=strict。如果我的理解是正确的,身份验证cookie只会在同站点导航的情况下发送到服务器。

在我的用例中,我信任子域。

因此,如果我可以保证我的用户使用的是支持 SameSite 策略的浏览器,那么禁用我的 ASP.NET Core 应用程序的反 CSRF 机制是否安全?

0 投票
1 回答
5243 浏览

javascript - 为 Chrome 77 上的 google recaptcha v2 警告尝试 SameSite 属性修复似乎对我不起作用?

如果我重复这个问题,我很抱歉,但我已经花了 6 多天的时间在这上面,我正在失去理智。即使我已经仔细尝试并重试将这些警告添加到我的 php 索引中的 and 标记之前,我似乎也无法让该警告消失。我已经尝试在 SameSite 上发布警告 Chrome 77 使用的帖子

以及此处的帖子 如何解决 要使用的“SameSite”属性

以及此处的示例 https://github.com/GoogleChromeLabs/samesite-examples/blob/master/php.md

即使其他一切都没有改变,我仍然收到警告。我错过了什么或做错了什么?抱歉,我想这应该没什么大不了的,但是我对这些弹出的警告消息和错误非常着迷,我希望它们会消失!提前谢谢。

-update- 抱歉,有问题的控制台中弹出的警告是这样的

0 投票
2 回答
15612 浏览

cookies - 使用 SameSite 和 Secure 属性设置 Google Tag Manager cookie

Chrome 报告以下警告:

与https://www.googletagmanager.com/上的跨站点资源关联的 cookie设置为没有该SameSite属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None和设置Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。

我有两个这种类型的警告。我看到的三个 cookie 是gtm_authgtm_previewgtm_debug。所有会话 cookie。我看到gtm_auth设置了Secure属性(SameSite属性为空)。其他两个 cookie 没有任何一个属性集。

顺便说一下,它们被归类为分析 cookie,而不是营销 cookie。

使用Google Tag Manager,我如何设置或修改这些 cookie?我不想更新代码中的 cookie。我想添加 cookie 属性应该可以使用Google Tag Manager. Google 对如何使用Google Analytics和解决这个问题的立场是什么Google Tag Manager

0 投票
4 回答
11389 浏览

php - 如何在 Apache 2.4 和 PHP 7.1 上的 Chrome 中解决跨站点 Google Analytics cookie `SameSite=None` 警告?

我客户的网站在 Chrome 中收到这些 SameSite cookie 警告。我已经搜遍了,我无法让警告消失。这些 cookie 是由于 Wordpress 网站上的 Google 广告转换跟踪。出于兼容性原因,该站点位于运行 PHP 7.1 的 DreamHost 托管的 Apache/2.4.7 (Ubuntu) 上。在我的 .htaccess 文件中,我尝试添加:

我试过了

...我试过了

以及许多其他组合,包括 SameSite=Lax

一份指南建议使用 PHP 7.2 及以下版本:

但这给了我一个500 Internal Server Erorr.

但是我仍然收到以下三个错误:

与跨站点资源关联的 cookie 设置为没有该SameSite属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None和设置Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在 和 查看更多详细信息。

(index):1 与http://doubleclick.net/上的资源关联的 cookie设置为带SameSite=None但不带Secure. 未来版本的 Chrome 将仅在SameSite=None它们也被标记的情况下提供标记的 cookie Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5633521622188032上查看更多详细信息。

(index):1 与http://google.com/上的资源关联的 cookie设置为带SameSite=None但不带Secure. 未来版本的 Chrome 将仅在SameSite=None它们也被标记的情况下提供标记的 cookie Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5633521622188032上查看更多详细信息。

在我的研究中,关于警告的信息似乎有限,并且在可用的指南中,我不确定是否必须按名称识别 cookie 或如何从源头修复 cookie/标头。

0 投票
7 回答
42679 浏览

spring-boot - 如何在 Spring Boot 中设置同站点 cookie 标志?

是否可以在 Spring Boot 中设置Same-Site Cookie标志?

我在 Chrome 中的问题:

与http://google.com/上的跨站点资源关联的 cookie 设置为没有该SameSite属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None和设置Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在 https://www.chromestatus.com/feature/5088147346030592https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。


如何解决这个问题呢?
0 投票
1 回答
4043 浏览

javascript - 在 Chrome 扩展程序中设置 SameSite=none,安全

在 chrome 最近更新 77.0 后,我开始在我的 chrome 扩展程序的背景页面上收到此警告。

与http://www.google.com/上的跨站点资源关联的 cookie设置为没有该SameSite属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None和设置Secure。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。

通过将 SameSite 默认 cookie 设置为“启用”,我能够将扩展恢复到之前的工作状态。在 chrome://flags 上

当这个临时的客户端修复被禁用时,这个代码被执行,

rtLink 以未定义的形式返回,当启用客户端修复时,它会正确执行并显示从 google 搜索中找到的 url

我的问题是,如何在我的获取请求/响应中设置 SameSite=Lax(或 None) 和 Secure,或者我问错了问题。如果是这种情况,为了适应这种 cookie 更改,我必须具体更改什么?

0 投票
1 回答
9371 浏览

php - 如何在 Laravel 5.8 中为 YouTube 设置 SameSite cookie

我使用 Laravel 5.8.17 在我的网站上的 iframe 中加载 YouTube 视频。在控制台中偷看我收到了这个警告:

与http://youtube.com/上的跨站点资源关联的 cookie 设置为没有该SameSite属性。SameSite=None未来版本的 Chrome 将仅在使用和设置时提供带有跨站点请求的 cookie Secure。您可以在 Application>Storage>Cookies 下的开发人员工具中查看 cookie,并在 https://www.chromestatus.com/feature/5088147346030592https://www.chromestatus.com/feature/5633521622188032查看更多详细信息。

我现在将我的'samesite' session.php 设置为:

但我仍然收到警告。我该如何正确解决这个问题?

0 投票
5 回答
28841 浏览

javascript - 即使在设置 SameSite=None 之后,Safari 也不发送 cookie;安全的

我们的应用程序使用 cookie 来记住用户登录。我们进行的每个身份验证 API 调用,浏览器都会在 API 请求中附加服务器设置的 HTTPonly cookie 并获得身份验证。在 Mojave 发布后,这种行为似乎在 safari 中被打破。

我读到了 safari 实现的跨站点 cookie 安全性,我们的服务器团队SameSite=None;Secure在设置 cookie 时添加。即使在那之后,它仍然不起作用。

Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None

请建议或提供实际找到解决方案的人的链接..