问题标签 [samesite]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
102 浏览

cookies - 新的 SameSite cookie 属性会有效阻止所有定向广告吗?

cookie 有一个新属性,SameSite默认设置为允许Get跨站点请求以防止通过其他 HTTP 动词的 CSRF。

据我所知,所有有针对性的广告都严重依赖跨站点 cookie。现在,如果浏览器或浏览器插件只是拦截所有 cookie 并将它们设置为SameSite Strict,这是否实际上意味着定向广告的结束?(至少我们现在一直看到的跨站点类型,当你看到你最近在亚马逊上检查过的东西被广告“无处不在”之后)。

0 投票
1 回答
360 浏览

node.js - 如何在 MERN 应用程序上使 Set-Cookie 警告消失?

所以我有一个使用 MERN 堆栈制作的应用程序,我在 server.js 上设置了下一个代码

但我一直在 chrome 上看到警告“与http://fontawesome.com/上的跨站点资源关联的 cookie被设置为没有该SameSite属性。”

我的一些 CSS 在构建后无法正常工作,所以我不知道这是否会在某些方面产生影响。

0 投票
1 回答
569 浏览

google-chrome - Chrome 扩展程序中的 SameSite 警告

我们正在开发 Chrome 扩展程序

  1. 从没有设置SameSite属性的域中读取 cookie
  2. 将 cookie 写入没有SameSite属性的域

我们在manifest.json中添加了对两个域的权限

我们在 Chrome 浏览器中启用了以下标志,

  • SameSite 默认 cookie
  • 启用删除 SameSite=None cookie
  • 没有 SameSite 的 Cookie 必须是安全的

问题

  1. 即使在启用标志之后,我们也能够读取使用来自其他域的以下值设置的 cookie。这是预期的,如果是这样,为什么?

    • 没有SameSite属性
    • 使用SameSite=strict
  2. 假设一个扩展在具有 X.com 域的站点中设置了没有SameSite属性的 cookie。当网站 (X.com) 是

    • 另一个扩展通过iframe使用
    • 另一个域为 Y.com 的站点通过iframe使用。在这两种情况下,cookie 会与响应一起呈现吗?
  3. 来自扩展的请求是否被视为跨站点请求?

  4. 域中扩展设置的 cookie 的行为如何?这是否类似于来自不同域的网站设置 cookie 时发生的情况?

  5. 对manifest.json中的域具有权限的扩展是否能够从其他域读取 cookie,而不管SameSite值如何?

0 投票
1 回答
3280 浏览

ruby-on-rails - 在 Rails 中设置 session_id cookie SameSite 属性

我正在尝试在 Rails 5.0.7.2 应用程序的会话 cookie 中设置 SameSite 属性,但在确定在何处以及如何设置时遇到问题。

看起来在 Rails 6.1 中将引入一种确定全局 SameSite 保护级别的方法,请参见:https ://github.com/rails/rails/commit/cd1aeda0a9dc15f09d7bf1b8b59e2ce07946f031 。也就是说,如何在以前的版本中进行设置?

SameSite 的处理方式将改变即将到来的 Chrome 版本 80,我正在尝试为此做准备,特别是涉及到:

“用于跨站点使用的 Cookie 必须指定 SameSite=None;安全以启用包含在第三方上下文中。”

有关更多信息,请参阅https://web.dev/samesite-cookie-recipes/ 。

0 投票
3 回答
4742 浏览

java - 如何在 weblogic.xml 中设置 cookie samesite 属性?

我想'samesite'在 weblogic 部署描述符中设置 cookie 属性,但没有看到任何'samesite'属性选项,就像我们对'httpOnly''Secure'.

是否有任何标签来设置'samesite'属性?

提前致谢。

0 投票
1 回答
58 浏览

asp.net - 更新最新的安全补丁导致我的 ASP.NET 系统自动注销

我的服务器的操作系统是 Windows Server 2008 R2 SP1,我更新了最新的安全补丁 - KB4533012,更新后,我的 ASP.NET 系统具有将请求发布到 Flex 网格,然后显示 swf 网格的功能我的 aspx 页面,然后我发现会话丢失(使用 Fiddler),系统注销,然后无论我做什么操作。

我发现的是一个新属性 - SameSite 已在新补丁中得到支持,如果我卸载补丁,问题将得到解决。

在 http cookie 中使用 SameSite 在 ASP.NET 和 Flex 网格之间是否存在错误?

感谢您的帮助!

0 投票
1 回答
202 浏览

google-chrome - Chrome 推出相同站点、安全更改后,之前设置的旧 cookie 会发生什么情况

由于使用 Chrome 80(2020 年 2 月即将更改),他们强制在 cookie 中设置 SameSite 和 Secure 属性,以便在第三方上下文中访问该属性。浏览器中没有 SameSite 和 Secure 属性的现有 cookie 会发生什么情况。一旦 Chrome 推出其更改,这些旧 cookie 会在第三方上下文中发送吗?

0 投票
1 回答
236 浏览

cookies - cookie 中的 SameSite 属性

我有一个网站 a.com,其中第三方应用指向 apps.b.com。当我登录到 a.com 时,我也在后台使用相同的凭据对 apps.b.com 进行了身份验证。这样用户就不必登录来访问apps.b.com。我了解浏览器在向它发出请求时会将所有 cookie 发送到 apps.b.com。这就是它现在的工作方式。阅读有关 SameSite 属性的文章https://web.dev/samesite-cookies-explained/,看来 apps.b.com 是第三方网站。现在我必须在 a.com 上配置 Web 服务器以将 cookie 设置为 SameSite=none;Secure 还是必须在 apps.b.com 的 Web 服务器上设置 SameSite=none;Secure?

0 投票
1 回答
472 浏览

asp.net - 使用 IdentityServer3 的 SameSite Cookie 设置 - 无法复制预期问题

我们有一个使用 IdentityServer3 利用混合流构建的安全应用程序。许多其他 API 和前端应用程序连接到这个中央安全应用程序。

我们最近了解到,Chrome 80 中引入的 SameSite cookie 设置会SameSite=Lax通过默认设置选项而导致问题,但是我尝试使用 Chrome 80 的测试版(前端应用程序和安全性之一)来模拟此错误应用程序,没有看到任何错误。

Chrome 80 Beta 上没有 SameSite 设置的 cookie 屏幕截图

什么样的请求会导致这个错误?

0 投票
1 回答
9384 浏览

google-chrome - 如何从命令行启用 chrome 功能?

我正在尝试测试对受 Chrome 对 SameSite cookie 属性的待处理更改影响的单点登录过程的修复(请参阅SameSite 更新)。

我可以在 chrome://flags 中启用这两个功能,以确保 chrome 表现出新的行为:

上面的链接还提到了我还需要为我的测试设置的这个附加功能,以确保我的单点登录过程将继续适用于 chrome 81+:

但是,该功能不存在于 chrome://flags 页面中。该链接建议我可以使用命令行选项启用它:

但是如果没有 chrome://flags 中显示的功能,很难说该功能 (a) 是否存在,并且 (b) 是否已设置。

我还尝试从命令行设置其他两个功能:

同样,很难说这是否有效,因为这些功能在 chrome://flags 中仍然显示为“默认”。

从 chrome://version 我可以看到完整的命令行,并且我的选项已放在 --flag-switches-begin 选项之前。所以我用这个命令行再次尝试:

chrome://version 现在将命令行显示为:

即添加第二对--flag-switches-begin --flag-switches-end。并且这些功能在 chrome://flags 中仍然设置为“默认”。

铬://版本

有任何想法吗?

谢谢。