提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档


前言

Chrome从70版本开始,出现了所谓的同源策略问题。80版本开始默认SameSite=Lax,导致跨域Cookie传输收到限制。

我们遇到的问题是:从其他网站跳转回来的时候,地址栏在正常地址的基础上出现了JSESSIONID=XXXXXXXXX,导致原有session失效。


二、解决方案

1.方案一:修改浏览器配置

此方式比较粗暴,直接将浏览器的SameSite的属性设置回到以前的None状态。但缺点是每台客户端机器都需要配置,适用于用户范围可控的情景。

据说从91版本开始,此方式失效,未进行测试。。。。

1)chrome地址栏输入chrome://flags
2)通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关
3)重新启动浏览器

方式2和方式3是设置samesite=none,且显式声明secure=true,只支持https且samesite=none的情况下跨域携带cookie。

2.方案二:使用Nginx

# 设置一个变量,用于判断是否增加SameSite=None属性
set $cookiePathMagicFlag '';
# 00~69 之间Chrome, 设置为-evil'
if ($http_user_agent ~ "Chrome/([0-6][0-9]\.)"){

    set $cookiePathMagicFlag '-evil';
}

location / {
    # nginx其他配置
    # xxxxxxxxx
    # 增加SameSite=None、secure配置
    proxy_cookie_path /$cookiePathMagicFlag "/; httponly; secure; SameSite=None";
}

3.方案三:若服务器为Tomcat,可使用以下方式(Tomcat8.5.x以上版本)

修改conf/context.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- The contents of this file will be loaded for each web application -->
<Context>

    <!-- Default set of monitored resources. If one of these changes, the    -->
    <!-- web application will be reloaded.                                   -->
    <WatchedResource>WEB-INF/web.xml</WatchedResource>
    <WatchedResource>${catalina.base}/conf/web.xml</WatchedResource>

    <!-- Uncomment this to disable session persistence across Tomcat restarts -->
    <!--
    <Manager pathname="" />
    -->
    <!-- 配置sameSiteCookies=None -->
	<CookieProcessor sameSiteCookies ="None" />
</Context>

Logo

华为云1024程序员节送福利,参与活动赢单人4000元礼包,更有热门技术干货免费学习

更多推荐