如何还原KB4533097引入的SameSite cookie更改
KB4533097是Windows 10的一个更新补丁,它引入了对SameSite cookie属性的支持。SameSite属性是HTTP响应头Set-Cookie中的一个属性,用于控制浏览器在跨站请求时是否发送cookie。这个属性有三个可能的值:Strict、Lax和None。
基础概念
- SameSite Strict: 浏览器仅在第一方上下文中发送cookie,不会在跨站请求中发送。
- SameSite Lax: 浏览器在跨站请求中不会发送cookie,但在用户从外部站点导航到源站点时会发送。
- SameSite None: 浏览器会在所有上下文中发送cookie,但需要配合Secure属性使用,确保cookie只能通过HTTPS协议传输。
优势
- 安全性提升: 减少跨站请求伪造(CSRF)攻击的风险。
- 隐私保护: 用户可以更好地控制自己的信息,防止被第三方网站滥用。
应用场景
- 在线购物网站: 防止支付过程中的CSRF攻击。
- 社交媒体平台: 保护用户会话不被其他站点利用。
可能遇到的问题及解决方法
如果在应用KB4533097后遇到SameSite cookie相关的问题,可能是由于以下原因:
- 浏览器兼容性问题: 老版本的浏览器可能不完全支持SameSite属性。
- 解决方法: 升级浏览器到最新版本,或者为不支持的浏览器提供回退机制。
- 应用代码未适配: 应用程序可能没有正确设置SameSite属性。
- 解决方法: 检查并更新应用程序中的cookie设置代码,确保正确使用SameSite属性。
- 第三方库或框架问题: 使用的库或框架可能默认设置了不兼容的SameSite属性。
- 解决方法: 查阅相关文档,调整库或框架的配置。
示例代码
以下是一个设置SameSite cookie的示例代码(使用Node.js和Express):
const express = require('express');
const app = express();
app.get('/', (req, res) => {
res.cookie('sessionId', '12345', {
sameSite: 'strict',
secure: true,
httpOnly: true
});
res.send('Cookie set with SameSite attribute');
});
app.listen(3000, () => {
console.log('Server running on port 3000');
});在这个示例中,sessionId cookie被设置为Strict模式,并且要求通过HTTPS传输。
总结
KB4533097补丁增强了浏览器的安全性,但也可能带来兼容性问题。通过检查和更新应用程序代码,以及确保浏览器版本是最新的,可以有效解决这些问题。
相关·内容
自从我的windows服务器得到这个更新后,我所有的.net网站都不能再使用跨域表单发布了。这是针对内部系统的,所以我不担心CSRF。
浏览 11提问于2019-12-13得票数 0
使用IdentityServer4,我将在现有系统上实现代码流授权,该系统只支持IdentityServer中的ResourceOwnerPassword授予类型,并且运行良好。我进入了用户被提升为身份验证的阶段,然后重定向到server connect/authorize/callback。
调用IdentityServer4.Endpoints.AuthorizeCallbackEndpoint端点:用于/连接/授权/回调
浏览 0提问于2018-08-18得票数 26
基本上,我们通过API创建信封,然后向发送者显示一个带有信封发送视图的iFrame窗口,他可以在其中完成最终的配置,然后单击发送按钮。谷歌( )正在从Chrome 80中引入一项改变,在这里有一个很好的描述:和
长话短说:任何请求SameSite=None但没有被标记为安全的cookie都会从80版开始被Chrome拒绝。目前,我们可以看到,DocuSign还没有准备好进行这种更改。我们在控制台中看到关于同一站点cookie<em
浏览 0提问于2019-11-19得票数 2
我有一个.NET 4.5.2 web应用程序,其中我需要在跨站点上下文中传递身份验证cookie。}; SameSite=None; Secure");, 某些浏览器与SameSite=None (https://www.chromium.org/updates/same-site/incompatible-clients="Lax“添加到cookie中,因此在第一种情况下,Set-Cookie头如下所示: AC7.AUTH=ABC;
浏览 49提问于2020-01-22得票数 0
我的响应有一个set-cookie标头,但浏览器似乎并没有存储它(在邮递员中,它的工作方式就像一个护身符)。我的应用编程接口是用.NET核心编写的,而即时通信在客户端使用的是axios (React)。但是,出于SSR的目的,客户端请求通过express服务器进行代理。 我已经尝试了这里发布的多种解决方案。从在axios中将withCredentials设置为true的基础知识,到将服务器上的MinimumSameS
浏览 41提问于2019-05-26得票数 0
我试图在Rails 5.0.7.2应用程序中设置会话cookie中的SameSite属性,但在确定在何处以及如何设置该属性时遇到了问题。它看起来像是一种全局确定SameSite保护级别的方法,将在Rails 6.1中引入--参见:。也就是说,如何将其设置在以前的版本中?对待SameSite的方式将改变即将到来的Chrome 80,我正试图为此做好准备,特别是因为它涉及:
“用于跨站点使用的
浏览 1提问于2020-01-08得票数 5
随着Google最近实施的安全政策(从80.0开始推出),它被要求应用新的SameSite属性,以更安全的方式访问跨站点cookie,而不是CSRF。由于我没有做任何相关的事情,而且Chrome已经为第一方cookie设置了默认值SameSite=Lax,所以我的第三方服务集成失败了,原因之一是当SameSite=Lax时,chrome限制了对跨站点因此Spring拒绝URL,因为它包含一个分号,该分号是由新
浏览 12提问于2020-09-17得票数 10
回答已采纳
1回答
但是,在Azure Auth之后重定向到应用程序时,代码会在会话中检查'nonce‘& 'state’变量,奇怪的是,这些变量作为None返回,因此应用程序重定向到故障url。HttpResponseRedirect(get_login_success_url(request))这是用于身份验证的代码a8f6-bb7a913f1565'
SESSION_EXPIRE_AT_BROWSER_CLOSE = True
浏览 6提问于2019-11-18得票数 3
3回答
Chrome 80将引入一个新的属性,即SameSite。
来自Azure文件:
云服务(服务提供者)使用HTTP重定向绑定将AuthnRequest (身份验证请求)元素传
浏览 2提问于2020-02-05得票数 4
在中,没有提到为cookie设置SameSite属性,它似乎构建在来自WebOB的响应处理程序上,我查看了webOB文档页面,它清楚地显示了self.response.set_cookie(name, secure_cookie, path='/', secure=True,
httponly=True, samesite='lax', expires=expire
浏览 4提问于2019-04-06得票数 7
回答已采纳
我有很多在第三方上下文中使用的cookie。我最近更新了我们如何将cookie设置为符合SameSite的。但是,我仍然有许多在此更改之前设置的旧cookie,这意味着它们没有显式设置SameSite属性。当SameSite发生变化时,我还能访问那些旧的cookie吗?
谢谢你的帮忙!
浏览 1提问于2020-02-25得票数 0
回答已采纳
我有一个用Asp.net 4.0编写的应用程序。在google chrome为'lex‘引入同样的cookie默认值之前,一切都运行得很好。在asp.net版本4.7.2中有一个处理相同站点cookie的解决方案。https://docs.microsoft.com/en-us/aspnet/samesite/system-web-samesite
但是我找不到4.0版的</
浏览 0提问于2020-09-11得票数 2
我有一个自定义端点,它使用以下代码将值存储在会话cookie中:$session->set('test.email', $data['email']);
我从一个解耦的前端调用这个端点。这在火狐中很好,但在Chrome中,由于SameSite设置为Lax,会话cookie似乎被阻塞了。我如何将SameSite<
浏览 0提问于2023-01-25得票数 2
2回答
我正在研究php代码点火器上的shopify扩展。7.1 php版本。当我在shopify上安装扩展时,我收到了这个错误。该应用程序无法加载,然后我将此代码添加到默认控制器中:header('Set-Cookie: cross-site-cookie=bar; SameSite=None; Secure');
但我
浏览 2提问于2020-03-02得票数 0
回答已采纳
在莫兹拉,它的工作很好。
我们使用的是.net MVC。
浏览 6提问于2020-08-12得票数 1
这个问题是在过去的两天里尝试了许多解决方案后发布的,但没有任何效果。会话在我的Codeingiter 4项目中以一种奇怪的方式进行。我的应用程序中有一个支付模块,而PayU是我的支付网关提供商。我从控制器内的PayU中得到所有的响应。如果付款被取消使用,频率约为5/ 10尝试。此问题只有在从PayU支付网关重定向后才会发生,而不管支付状态如何。$1;httponly;secure;samesite=none我<em
浏览 5提问于2022-08-07得票数 0
但是,每次在浏览器中刷新时,我都会得到一个新的cfid。因此,没有找到有效的会话,因此登录页面无法工作。<CFAPPLICATION NAME="TESTWEB" SETCLIENTCOOKIES="Yes"SESSIO
浏览 8提问于2015-12-11得票数 2
回答已采纳
我想要允许用户使用jwt-authentication (aam-plugin)访问我在my-domain.com上的Wp-instance上的wp-rest-api,通过friend1-domain.com这个用于朋友的插件向特定的aam-plugin生成的端点发送POST请求: my-domain.com/wp-json/aam/v2/authenticate with user credentials例如,响应将特定于用户的JWT返回到fri
浏览 1提问于2021-02-25得票数 0
我使用的是js-cookie2.2.0,我想添加samesite标志,但我找不到任何有关的内容。 这是我的实际代码。'traffweb' + cookieName, cookieStr, { path: window.location.href,}) 如何添加samesite标志?
浏览 49提问于2019-10-04得票数 3
最近,samesite=lax自动添加到我的会话cookie!这个属性只是添加到sessionID:"Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite编辑:我发现这个:
ASP.NET现在将在SameSite值为“None”时发出SameSite cookie头,以适应即将对Chrome中的<e
浏览 33提问于2019-11-30得票数 33
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
