首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

即使为MERN堆栈web应用程序设置了sameSite:'none‘和secure: true,Cookie也不会保存在chrome中

即使为MERN堆栈web应用程序设置了sameSite:'none'和secure: true,Cookie也不会保存在Chrome中的原因是因为Chrome浏览器在处理Cookie时有一些额外的限制和安全策略。

sameSite属性用于控制Cookie的跨站点行为,设置为"none"表示允许跨站点发送Cookie。secure属性用于指定Cookie只能通过HTTPS连接发送。然而,即使设置了这些属性,Cookie仍然可能无法保存在Chrome中,原因如下:

  1. Chrome浏览器版本限制:在较早的Chrome版本中,即使设置了sameSite:'none'和secure: true,Cookie也无法在Chrome中保存。只有在Chrome 80及更高版本中,才能正确处理这些属性。
  2. Cookie策略:Chrome浏览器对Cookie的处理受到用户的隐私设置和浏览器策略的影响。例如,如果用户在浏览器中禁用了Cookie或设置了更严格的隐私模式,那么即使设置了sameSite:'none'和secure: true,Cookie也不会被保存。
  3. 开发环境配置:除了在代码中设置sameSite和secure属性外,还需要确保服务器配置正确。例如,确保使用HTTPS协议进行通信,并正确配置服务器的CORS(跨源资源共享)策略。

综上所述,即使为MERN堆栈web应用程序设置了sameSite:'none'和secure: true,Cookie也不会保存在Chrome中可能是由于浏览器版本限制、用户隐私设置、浏览器策略或开发环境配置等原因导致的。为了解决这个问题,可以确保使用最新版本的Chrome浏览器,并确保服务器配置正确。另外,可以考虑使用其他存储机制,如本地存储或会话存储,来替代Cookie的使用。

腾讯云相关产品和产品介绍链接地址:

  • 腾讯云服务器(CVM):https://cloud.tencent.com/product/cvm
  • 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
  • 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
  • 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
  • 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
  • 腾讯云移动开发(移动推送、移动分析等):https://cloud.tencent.com/product/mobile
  • 腾讯云区块链(BCS):https://cloud.tencent.com/product/bcs
  • 腾讯云元宇宙(Tencent XR):https://cloud.tencent.com/product/xr
页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

使用IdentityServer出现过SameSite Cookie这个问题吗?

请注意:该设置 SameSite=None 仅在 cookie 被标记为 Secure 并需要 HTTPS 连接时才有效。...还有其他情况可能会给您带来问题:首先,如果您在 Web 应用程序或网站嵌入源自另一个域的元素,例如视频的自动播放设置,并且这些需要 cookie 才能正常运行,这些会需要设置 SameSite 策略...要解决这个问题,我们首先需要确保需要通过跨站点请求传输的 cookie(例如我们的会话 cookie设置 SameSite=None Secure。...这会在 ASP.NET Core Web 应用程序添加配置 cookie 策略。此策略将检查是否设置 cookie SameSite=None 。...确保所有浏览器都满意,您将所有受影响的 cookie 设置 Secure SameSite=None,然后添加一个 cookie 策略(如上所示的代码),该策略可以覆盖这些设置并再次无法对 None

1.5K30

两个你必须要重视的 Chrome 80 策略更新!!!

Chrome 80 ,如果你的页面开启 https,同时你在页面请求 http 的音频视频资源,这些资源将将自动升级 https ,并且默认情况下,如果它们无法通过https 加载,Chrome...如果该政策设置true或未设置,则音频视频混合内容将自动升级HTTPS(即,URL将被重写HTTPS,如果资源不能通过HTTPS获得,则不会进行回退),并且将显示“不安全”警告在网址列显示图片混合内容...如果该策略设置false,则将禁用音频视频的自动升级,并且不会显示图像警告。该策略不影响音频,视频图像以外的其他类型的混合内容。 但是以上策略是一个临时策略,将在 Chrome 84 删除。...2.强推 SameSite Cookie SameSiteChrome 51 版本浏览器的 Cookie 新增的一个属性, SameSite 阻止浏览器将此 Cookie 与跨站点请求一起发送...具有 SameSite=NoneCookie 必须标记为安全并通过 HTTPS 传送。 如果你的 Cookie 未能正确配置。

4K40

Web技术】582- 聊聊 Cookie “火热”的 SameSite 属性

存放在本地的好处就在于即使你关闭浏览器,Cookie 依然可以生效。 Cookie设置 ---- 那 Cookie 是怎么设置的呢?...需要注意的是,有些浏览器提供会话恢复功能,这种情况下即使关闭浏览器,会话期 Cookie 会被保留下来,就好像浏览器从来没有关闭一样。...比如设置 Path=/docs,/docs/Web/ 下的资源会带 Cookie 首部,/test 则不会携带 Cookie 首部。...天猫商家后台请求跨域的接口,因为没有 Cookie,接口不会返回数据 …… 如果不解决,影响的系统其实还是很多的…… 6. 解决 解决方案就是设置 SameSite none。...不过会有两点要注意的地方: HTTP 接口不支持 SameSite=none 如果你想加 SameSite=none 属性,那么该 Cookie 就必须同时加上 Secure 属性,表示只有在 HTTPS

1.6K20

实用,完整的HTTP cookie指南

CookieSecure 属性 Secure 属性是说如果一个 cookie设置Secure=true,那么这个cookie只能用https协议发送给服务器,用 http 协议是不发送的。...设置Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。 Chrome 计划将Lax变为默认设置。...这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。 下面的设置无效。...Set-Cookie: widget_session=abc123; SameSite=None; Secure Cookies 认证 身份验证是 web 开发中最具挑战性的任务之一。...为了解决此问题,大多数开发人员都将JWT令牌保存在cookie,以为HttpOnlySecure可以保护cookie,至少可以免受XSS攻击。

5.8K40

临近年关,修复ASP.NET Core因浏览器内核版本引发的单点登录故障

的同源策略, = none 指示客户端禁用Cookie的同源限制 HttpOnly 指示创建的Cookie是否能通过Javascript访问(该cookie依然存于浏览器上),这里true,表示不能通过...修复策略 我们的目的是兼容这些旧核心浏览器,但是本人不打算打补丁(浏览器嗅探,根据User-Agent屏蔽SameSite=none), 结合站点的同源限制的现状,本站点没有必要显式设置SameSite...Secure = false, }); SameSite历史版本变更 ASP.NET Core是在2.0版本开始支持SameSite(IETF 2016...IETF 2019标准发布修复补丁,2019 SameSite草案规定: 与2016年草案不向后兼容 默认将Cookie SameSite= Lax 显式设置SameSite=None时,必须将该Cookie...标记为Secure, None是一个新值 ASP.NET Core 3.1在SameSite枚举值新增Unspecified,表示不写入SameSite属性值,继承浏览器默认的Cookie策略 预定于2020

1.8K10

【网络知识补习】❄️| 由浅入深了解HTTP(四) HTTP之cookies

可以将 cookie 设置在特定日期过期,或限制为特定的域路径。...需要注意的是,有些浏览器提供会话恢复功能,这种情况下即使关闭浏览器,会话期Cookie 会被保留下来,就好像浏览器从来没有关闭一样,这会导致 Cookie 的生命周期无限期延长。...但即便设置 Secure 标记,敏感信息不应该通过 Cookie 传输,因为 Cookie 有其固有的不安全性,Secure 标记也无法提供确实的安全保障, 例如,可以访问客户端硬盘的人可以读取它。...从 Chrome 52 Firefox 52 开始,不安全的站点(http:)无法使用CookieSecure 标记。...在应用程序服务器上,Web 应用程序必须检查完整的 cookie 名称,包括前缀 —— 用户代理程序在从请求的 Cookie 标头中发送前缀之前,不会cookie 剥离前缀。

1.8K20

HTTP cookie 完整指南

CookieSecure 属性 Secure 属性是说如果一个 cookie设置Secure=true,那么这个cookie只能用https协议发送给服务器,用 http 协议是不发送的。...设置Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。 Chrome 计划将Lax变为默认设置。...这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。 下面的设置无效。...Set-Cookie: widget_session=abc123; SameSite=None; Secure Cookies 认证 身份验证是 web 开发中最具挑战性的任务之一。...为了解决此问题,大多数开发人员都将JWT令牌保存在cookie,以为HttpOnlySecure可以保护cookie,至少可以免受XSS攻击。

4.2K20

【Django跨域】一篇文章彻底解决Django跨域问题!

# 改为True即为可跨域设置Cookie CORS_ALLOW_CREDENTIALS = True ​ # 这里有一个需要注意的点 # chrome升级到80版本之后,cookieSameSite...属性默认值由None变为Lax # 也就是说允许同站点跨域 不同站点需要修改配置 None(需要将Secure设置True) # 需要前端与后端部署在统一服务器下才可进行跨域cookie设置 ​ #...总结:需要设置 samesite = nonesecure = True(代表安全环境 需要 localhost 或 HTTPS)才可跨站点设置cookie Cookie属性 key:键 value...这是浏览器的默认值。 Strict Cookies 只会在第一方上下文中发送,不会与第三方网站发起的请求一起发送。 None Cookie 将在所有上下文中发送,即允许跨站发送。...= True ​ # 设置set_cookiesamesite属性 SESSION_COOKIE_SAMESITE = 'None' SESSION_COOKIE_SAMESITE = 'Lax'

4.3K31

【跨域】一篇文章彻底解决跨域设置cookie问题!

是因为谷歌浏览器新版本Chrome 80将CookieSameSite属性默认值由None变为Lax。 接下来带大家解决该问题。...值Lax,允许在跨站时使用Get请求携带Cookie,下面有一个表格介绍Lax的Cookie使用情况。 值None,允许跨站跨域使用Cookie,前提是将Secure属性设置true。...并且谷歌浏览器新版本Chrome 80将CookieSameSite属性默认值由None变为Lax。...这下就很清楚明了了,有两种解决方案: 将CookieSameSite值设为NoneSecure值改为true,并且升级https,我们就可以跨域使用Cookie。...# 方案一 # 将session属性设置 secure SESSION_COOKIE_SECURE = True # 设置cookiesamesite属性None SESSION_COOKIE_SAMESITE

4K10

XSS跨站脚本攻击基础

包括会话型cookie持久型cookie,会话型cookie存在临时储存,关闭浏览器的时候就会消失,而持久型cookie存在硬盘。...Expires属性缺省时,会话型Cookie,仅保存在客户端内存,并在用户关闭浏览器时失效;持久型Cookie会保存在用户的硬盘,直至生存期到或用户直接在网页单击“注销”等按钮结束会话时才会失效...Secure:指定是否使用HTTPS安全协议发送Cookie。使用HTTPS安全协议,可以保护Cookie在浏览器Web服务器间的传输过程不被窃取篡改。...由于不同的浏览器对Cookie的解析不同,所以Cookie不能跨浏览器存储,也就是说在chrome登录的网页,在firefox不会存储登录的信息。...如果我们能够在web程序,对用户提交的URL的参数,提交的所有内容,进行充分的过滤,将所有的不合法的参数输入内容过滤掉,那么就不会导致在用户的浏览器执行攻击者自己定制的脚本。

1K20

Cook Cookie, 我把 SameSite 给你炖烂了

直到2020年7月14日Chrome 84稳定版开始,重新恢复SameSite cookie策略,并且会逐步部署到Chrome 80以及以上的版本。...SameSite=Lax" 变成默认设置,取代现在的"SameSite=None";2.如果硬要设置成"SameSite=None",则需要同时增加"Secure"标识,即这个cookie只能在Https...在最新的RFC6265 替代草案draft-ietf-httpbis-rfc6265bis-05[9], 提及这三个属性值,并做了介绍,但貌似还是落后现在浏览器的实现,因为草案SameSite=None...为了在新版本浏览器下,能继续让单点登录有效,所以淘宝的开发也就做点改变来适应, cookie 都打上了samesite=Nonesecure标识, 利用改进第二条规则。 ?...需要设置credentials属性include(ajax有相似设置), 但这只是开始,因为设置这个属性携带了cookie后,这个请求就变成了非简单请求,服务端需要针对请求的站点设置Access-control-Allow-Credentials

2K10

一文看懂Cookie奥秘

-969171-****** “除了服务端响应时使用Set-Cookie标头种植cookie,浏览器javascript可以种植cookie cookie的种植面积 DomainPath属性定义...- /docs - /docs/web/ - /docs/web/http cookie的有效时长 一般情况下浏览器关闭,cookie失效; 可通过设置特定的Expires或者Max-Agecookie...发送cookie的物理安全 Secure指定发送cookie的物理安全:要求以HTTPS形式回发cookieChrome52+、Firefox52+已经支持Secure指令,再使用http请求已经不会携带...即便是Secure指令, 敏感信息不要放在cookie, 因为他们天生就不安全,https并不能提供足够有效的安全防护。 谁能访问cookie?...,使cookieSameSite默认= Lax 如果需要跨域发送cookie,请使用None枚举值选择无SameSite限制, None指令需要搭配Secure指令 Tip:None枚举值是标准新增枚举值

1.5K51

cookie跨域传输cookie问题:nginx跨域代理之proxy_cookie_domain

Path限定哪些路径可以访问该数据,如果值“/”,则Web服务器上所有的WWW资源均可读取该Cookie,默认为存储是对应路径Secure 限定通信只有是加密协议时,才可读取本地数据。...设置http头解决跨域问题CORS我们提供跨域资源共享的解决方案,通过Access-Control-Allow-Origin Access-Control-Allow-Credentials Access-Control-Allow-Headers...比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。NoneCookie 只能通过 HTTPS 协议发送。...必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。...Set-Cookie: widget_session=abc123; SameSite=None; SecureLax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get

5.3K20

跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials

Secure = true, SameSite = SameSiteMode.None }); Response.Cookies.Append...对于HTTPS协议的API返回的cookie,如果设置属性:secure; samesite=none,则浏览器会存储cookie。XHR请求会带上目标域的cookie: ?...Strict的cookie; XHR请求会带上目标域的cookie; cross-site 对于HTTPS协议的API返回的cookie,如果设置属性:secure; samesite=none...若前端XHR请求设置withCredentialstrue,但后台API未设置Access-Control-Allow-Credentials,则会报The value of the 'Access-Control-Allow-Credentials...若前端XHR请求设置withCredentialstrue,但后台API配置Access-Control-Allow-Origin的值*,则会报The value of the 'Access-Control-Allow-Origin

3.1K10

浏览器嗅探解决部分浏览器丢失Cookie

原因在于,非Chrome80+浏览器不识别Cookie上的SameSite=none属性值,导致认证Cookie在后续请求中被抛弃。 ?...截至2020/3/30号,非Chrome浏览器测试包含两种结果: case1:可设置cookiesamesite=none, 浏览器可读取该cookie case2:对cookie设置samesite...10.0.6.304 case1 魅族手机浏览器 8.5.1 case2 嗯,我之前报的360急速浏览器在新版已经更新Chrome内核,作为主流的搜狗猎豹浏览器还是使用旧版本Chrome内核...如果Web应用程序打算支持旧内核浏览器,则需要实现浏览器嗅探。ASP.NET Core不会帮你实现浏览器嗅探,因为User-Agents值易变且经常更改。...ASP.NET Core3.1 对与SameSiteMode新增一个 Unspecified枚举值,表示服务端不会Cookie设置SameSite属性值, 后面的携带Cookie的事情交给浏览器默认配置

1.3K20

iframe、SameSite与CEF

iframe、SameSite与CEF 背景 本人使用CEF(或是Chrome)来加载开发的前端页面,其中使用iframe嵌入了第三方页面,在第三方页面需要发送cookie到后端,然而加载会报错...SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。 SameSite 可以有下面三种值: Strict(严格的)。...发送 Cookie 不发送 Image 发送 Cookie 不发送 None(无)。无论是否跨站都会发送 Cookie。...解决方案 Chrome(或是基于Chromium的Edge) 在基于Chrome,可以进入如下的页面进行配置: 地址栏输入:chrome://flags/(Edge中会自动转为edge://) 找到...SameSite by default cookiesCookies without SameSite must be secure 将上面两项设置 Disable CEF 上面的方法很通用,不过

40730

解决新版chrome跨域问题:cookie丢失以及samesite属性问题「建议收藏」

xhrFields: { withCredentials: true} ) springboot尝试设置多种跨域方法(springboot解决跨域) 深入分析: 使用其它浏览器(firefox,...ie),session却是一致的 对比chromefirefox请求头响应头: firefox:首次发起请求后,服务端返回sessionId后,之后每次请求cookie都会带上sessionId...至于不同Chrome版本号的问题可以参考这篇文章:关于解决Chrome新版本cookie跨域携带samesite的问题处理 <!...然而,我们不可能要求用户像我们一样去禁用新版chromeSameSite,目前的建议就是在header设置samesite,即上述的response.setHeader("Set-Cookie",..."HttpOnly;Secure;SameSite=None")后,使用https传输cookie

3.7K10
领券