网站运营专员做什么,wordpress 函数 文件大小,洛阳制作网站公司吗,做健身俱乐部网站的目的和意义问题产生 问题复现#xff1a; A项目页面使用 iframe 引用了B项目 B项目登录页面输入账号密码后点击登录 无法跳转 尝试解决#xff1a; 在B项目修改了跳转方式 但无论是 this.$router.push 还是 window.herf 都无法实现跳转在iframe中使用 sandbox 沙箱属性 同样无法实现跳…问题产生 问题复现 A项目页面使用 iframe 引用了B项目 B项目登录页面输入账号密码后点击登录 无法跳转 尝试解决 在B项目修改了跳转方式 但无论是 this.$router.push 还是 window.herf 都无法实现跳转在iframe中使用 sandbox 沙箱属性 同样无法实现跳转更换浏览器 发现尤其是Chrome内核浏览器 如Edge 谷歌浏览器 甚至于Safari 均无法正常跳转 但火狐浏览器可以正常访问尝试更换旧版本51之前的 Chrome 浏览器 以及操作调试火狐浏览器的SameSite配置项 问题解决 确定是SameSite所产生问题 产生原因
在《Web 安全漏洞之 CSRF》中了解到CSRF 的本质实际上是利用了 Cookie 会自动在请求中携带的特性诱使用户在第三方站点发起请求的行为。
Chrome 51 开始浏览器的 Cookie 新增加了一个SameSite属性可用于防止 CSRF 攻击和用户追踪。CSRF和用户跟踪的共同特点就是在访问网站A时在给网站B发请求的时候也会携带上网站B的cookie。而chrome 的samesite属性用来限制第三方 Cookie第三方的理解是URL中的网站是第一方用户浏览器是第二方除此之外的是第三方。
samesite共有三个值分别是StrictLax和None。其中Strict最为严格完全禁止第三方 Cookie跨站点时任何情况下都不会发送 Cookie。换言之只有当前网页的 URL 与请求目标一致才会带上 Cookie。Lax规则稍稍放宽大多数情况也是不发送第三方 Cookie但是导航到目标网址的 Get 请求除外。具体可以参照下表。这样如果浏览器支持samesite那么可以有效地防止CSRF攻击。但同时也对一些应用造成了麻烦只要是涉及到身份的网页应用都无法在从其他网站跳转时正常地使用。 从上图可以看出对大部分 web 应用而言POST 表单iframeAJAXImage 这四种情况从以前的跨站会发送三方 Cookie变成了不发送。
POST表单和AJAX请求在跨站请求的时候不发送Cookie是ok的 这样可以有效阻止跨站请求伪造攻击。
Image不发送Cookie其实影响比较小因为大部分静态资源都会放在CDN上 不随业务变化可以实现强缓存。
而iframe一般都是跨站的所以受影响相对较大。 解决方式
1.修改浏览器配置项Chrome 由于SameSite是从 Chrome51 版本后出现 所以 Chrome51 版本之前的用户是正常显示的 故不用操作 版本在 Chrome51 - Chrome91 之间
通过可视化图形界面在手动关停 SameSite 如图所示
把SameSite by default cookies设置为disabled 重启浏览器即可正常使用 版本在 Chrome91 - Chrome94 之间
右击桌面的ChromeEdge同理 - 属性
在目标后输入以下命令
--disable-featuresSameSiteByDefaultCookies; 版本在Chrome94 以上
嗝屁凉凉寄 2.修改浏览器配置项火狐
地址栏输入 about:config 进入配置
再输入 network.cookie.sameSite.laxByDefault 搜索
默认应该为false false时则正常访问 如果为true 则会产生以上问题 可双击修改测试
