admin管理员组文章数量:1530022
文章目录
- 背景
- cas为啥会受影响?
- 受影响的场景
- 解决方案
- 方案一 手动设置
- 方案二 版本回退
- 方案三 (非同域应用)
- 方案四(同域应用)
- 资料引用:
背景
今天子涵先生,收到小伙伴反馈说80版本的chrome浏览器,cas登录失败了。
小伙伴还是非常给力的,场景说明也非常具体:chrome 80 浏览器下,无法访问原本通过 iframe 形式嵌入的页面,并在控制台报如下错误:
A cookie associated with a cross-site resource at http://ip/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus/feature/5088147346030592 and https://www.chromestatus/feature/5633521622188032.
经查询相关资料,原来是Google在2020年2月4号发布的 Chrome 80 版本,中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上SameSite=Lax
属性,并且拒绝非Secure的Cookie设为SameSite=None
,此举是为了从源头屏蔽 CSRF 漏洞。
cas为啥会受影响?
cas的认证过程中,会存储TGC到浏览器的cookie中,谷歌浏览器的升级,导致 chrome 在跨站(cross-site)的情况下是否已经无法set cookie,从而导致了cas的认证过程中断。
受影响的场景
下列已知场景会在 Chrome 80 中受到影响:
- 组件数据基于第三方登陆态的 API 请求
检查您的组件是否使用了 API,并且 API 是否基于第三方网站的登录态返回相关用户数据,如果是,请往下看:
使用的 API 为 HTTPS 协议:请看 方案三
使用的 API 为 HTTP 协议:请看 方案三 - http 本地部署
影响:Chrome 80 会拦截 http 协议下的登陆功能,导致整个本地部署服务无法使用
解决方案:方案一 或 方案二 或 方案三
解决方案
方案一 手动设置
Chrome 中打开 chrome://flags/#same-site-by-default-cookies 和 chrome://flags/#cookies-without-same-site-must-be-secure ,设置为 Disabled ,重启浏览器。
方案二 版本回退
降级到 Chrome 79 及以下版本,并关闭自动更新。
方案一、二需要用户改变浏览器环境,用户肯定不乐意……
方案三 (非同域应用)
此场景需要将 API 切换为 HTTPS 协议(需要有 SSL 证书),并且检查响应头中的 Set-Cookie 中是否包含了 SameSite=None 和 Secure字样。
方案四(同域应用)
把所有应用做到同域。例如使用nginx反向代理。
甲方的系统一般都是由多方共同参与的,出现问题的场景正好是,A供应商的系统通过iframe的方式集成了B供应商的页面,B供应商的系统是使用cas实现单点的。对于我们来说,方案四就行不通咯。
资料引用:
1、关于 Chrome (谷歌浏览器)升级到 80 后可能产生的影响以及解决方案
2、关于 chrome 80 后出现的 SameSite 问题
感谢您的赏读。客官,点赞、留言再走呗~或者留下您的问题一起探讨
版权声明:本文标题:关于Chrome浏览器升级到80版本后受影响的场景以及解决方案 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1726734924a1082590.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论