问题标签 [samesite]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - SameSite 警告 Chrome 77
自上次更新以来,我遇到了与 SameSite 属性相关的 cookie 错误。
cookie 来自第三方开发者(Fontawesome、jQuery、Google Analytics、Google reCaptcha、Google Fonts 等)
Chrome 控制台中的错误是这样的。
我需要在本地机器或服务器上做些什么,或者只是他们应该在未来版本的库中实现的一些功能?
google-chrome - 跨站资源在设置时没有 `SameSite` 属性 .NET
SameSite
属性怎么解决?
:1 与http://doubleclick.net/上的跨站点资源关联的 cookie设置为没有该SameSite
属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None
和设置Secure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。
同样适用于 google.com、linkedin、facebook.com、twitter.com。ETC
无法添加“Samesite”属性。解决此问题的最佳方法是什么?
asp.net-core - 如果身份验证 cookie 上的 samesite=strict 禁用防伪令牌是否安全?
根据docs.microsoft.com , ASP.NET 核心实现了 Synchronizer Token Pattern 来缓解 CSRF。
反请求伪造机制有许多影响用户的缺点:
ex 1:登录页面在 2 个选项卡中打开
- 在两个不同的选项卡中打开登录页面
- 用户 A 从选项卡 1 记录(无问题)
- 在不刷新 Tab 2 的情况下,用户 B 尝试登录。
=> 产生一个带有 AntiforgeryValidationException 的 400 页
ex 2:在 2 个选项卡中打开的表单(来自邮件中的同一链接)
- 从模板创建一个新的 Asp.Net Core MVC 网站(VS 2019)
- 创建一个具有简单表单的新页面,该表单在发布时使用 [ValidateAntiForgeryToken] 进行验证。
- 通过电子邮件向自己发送指向该页面的链接(我使用过 Gmail 和 Mailtrap)
- 通过正常单击在两个选项卡中打开链接
- 以任意顺序提交两种表格
=> 首先打开的表单会产生 400 错误
看起来 SameSite=strict 是针对 CSRF 攻击的有效安全措施
根据这篇文章和这个 RFC 草案,SameSite cookie 似乎是针对 CSRF 攻击的有效且强大的安全措施。ASP.NET Core 2.2 的身份验证 cookie 配置为 SameSite=strict。如果我的理解是正确的,身份验证cookie只会在同站点导航的情况下发送到服务器。
在我的用例中,我信任子域。
因此,如果我可以保证我的用户使用的是支持 SameSite 策略的浏览器,那么禁用我的 ASP.NET Core 应用程序的反 CSRF 机制是否安全?
javascript - 为 Chrome 77 上的 google recaptcha v2 警告尝试 SameSite 属性修复似乎对我不起作用?
如果我重复这个问题,我很抱歉,但我已经花了 6 多天的时间在这上面,我正在失去理智。即使我已经仔细尝试并重试将这些警告添加到我的 php 索引中的 and 标记之前,我似乎也无法让该警告消失。我已经尝试在 SameSite 上发布警告 Chrome 77 使用的帖子
以及此处的帖子 如何解决 要使用的“SameSite”属性
以及此处的示例 https://github.com/GoogleChromeLabs/samesite-examples/blob/master/php.md
即使其他一切都没有改变,我仍然收到警告。我错过了什么或做错了什么?抱歉,我想这应该没什么大不了的,但是我对这些弹出的警告消息和错误非常着迷,我希望它们会消失!提前谢谢。
-update- 抱歉,有问题的控制台中弹出的警告是这样的
cookies - 使用 SameSite 和 Secure 属性设置 Google Tag Manager cookie
Chrome 报告以下警告:
与https://www.googletagmanager.com/上的跨站点资源关联的 cookie设置为没有该
SameSite
属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None
和设置Secure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。
我有两个这种类型的警告。我看到的三个 cookie 是gtm_auth
、gtm_preview
和gtm_debug
。所有会话 cookie。我看到gtm_auth
设置了Secure
属性(SameSite
属性为空)。其他两个 cookie 没有任何一个属性集。
顺便说一下,它们被归类为分析 cookie,而不是营销 cookie。
使用Google Tag Manager
,我如何设置或修改这些 cookie?我不想更新代码中的 cookie。我想添加 cookie 属性应该可以使用Google Tag Manager
. Google 对如何使用Google Analytics
和解决这个问题的立场是什么Google Tag Manager
?
php - 如何在 Apache 2.4 和 PHP 7.1 上的 Chrome 中解决跨站点 Google Analytics cookie `SameSite=None` 警告?
我客户的网站在 Chrome 中收到这些 SameSite cookie 警告。我已经搜遍了,我无法让警告消失。这些 cookie 是由于 Wordpress 网站上的 Google 广告转换跟踪。出于兼容性原因,该站点位于运行 PHP 7.1 的 DreamHost 托管的 Apache/2.4.7 (Ubuntu) 上。在我的 .htaccess 文件中,我尝试添加:
我试过了
...我试过了
以及许多其他组合,包括 SameSite=Lax
一份指南建议使用 PHP 7.2 及以下版本:
但这给了我一个500 Internal Server Erorr
.
但是我仍然收到以下三个错误:
与跨站点资源关联的 cookie 设置为没有该
SameSite
属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None
和设置Secure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在 和 查看更多详细信息。(index):1 与http://doubleclick.net/上的资源关联的 cookie设置为带
SameSite=None
但不带Secure
. 未来版本的 Chrome 将仅在SameSite=None
它们也被标记的情况下提供标记的 cookieSecure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5633521622188032上查看更多详细信息。(index):1 与http://google.com/上的资源关联的 cookie设置为带
SameSite=None
但不带Secure
. 未来版本的 Chrome 将仅在SameSite=None
它们也被标记的情况下提供标记的 cookieSecure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5633521622188032上查看更多详细信息。
在我的研究中,关于警告的信息似乎有限,并且在可用的指南中,我不确定是否必须按名称识别 cookie 或如何从源头修复 cookie/标头。
spring-boot - 如何在 Spring Boot 中设置同站点 cookie 标志?
是否可以在 Spring Boot 中设置Same-Site Cookie标志?
我在 Chrome 中的问题:
与http://google.com/上的跨站点资源关联的 cookie 设置为没有该
SameSite
属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None
和设置Secure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在 https://www.chromestatus.com/feature/5088147346030592和 https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。
如何解决这个问题呢?
javascript - 在 Chrome 扩展程序中设置 SameSite=none,安全
在 chrome 最近更新 77.0 后,我开始在我的 chrome 扩展程序的背景页面上收到此警告。
与http://www.google.com/上的跨站点资源关联的 cookie设置为没有该
SameSite
属性。未来版本的 Chrome 将仅提供带有跨站点请求的 cookie,前提是它们使用SameSite=None
和设置Secure
。您可以在应用程序>存储>Cookies 下的开发人员工具中查看 cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.chromestatus.com/feature/5633521622188032中查看更多详细信息。
通过将 SameSite 默认 cookie 设置为“启用”,我能够将扩展恢复到之前的工作状态。在 chrome://flags 上
当这个临时的客户端修复被禁用时,这个代码被执行,
rtLink 以未定义的形式返回,当启用客户端修复时,它会正确执行并显示从 google 搜索中找到的 url
我的问题是,如何在我的获取请求/响应中设置 SameSite=Lax(或 None) 和 Secure,或者我问错了问题。如果是这种情况,为了适应这种 cookie 更改,我必须具体更改什么?
php - 如何在 Laravel 5.8 中为 YouTube 设置 SameSite cookie
我使用 Laravel 5.8.17 在我的网站上的 iframe 中加载 YouTube 视频。在控制台中偷看我收到了这个警告:
与http://youtube.com/上的跨站点资源关联的 cookie 设置为没有该
SameSite
属性。SameSite=None
未来版本的 Chrome 将仅在使用和设置时提供带有跨站点请求的 cookieSecure
。您可以在 Application>Storage>Cookies 下的开发人员工具中查看 cookie,并在 https://www.chromestatus.com/feature/5088147346030592和 https://www.chromestatus.com/feature/5633521622188032查看更多详细信息。
我现在将我的'samesite' session.php 设置为:
但我仍然收到警告。我该如何正确解决这个问题?
javascript - 即使在设置 SameSite=None 之后,Safari 也不发送 cookie;安全的
我们的应用程序使用 cookie 来记住用户登录。我们进行的每个身份验证 API 调用,浏览器都会在 API 请求中附加服务器设置的 HTTPonly cookie 并获得身份验证。在 Mojave 发布后,这种行为似乎在 safari 中被打破。
我读到了 safari 实现的跨站点 cookie 安全性,我们的服务器团队SameSite=None;Secure
在设置 cookie 时添加。即使在那之后,它仍然不起作用。
Set-Cookie: my_cookie=XXXXX; path=/; secure; HttpOnly; SameSite=None
请建议或提供实际找到解决方案的人的链接..