Chrome 69不再接受127.0.0.1上的cookie
是因为Chrome 69版本引入了一项安全更新,即禁止在localhost或127.0.0.1上使用未加密的cookie。这是为了提高用户的安全性和隐私保护。
在过去,开发人员经常在本地开发环境中使用localhost或127.0.0.1来进行测试和调试。然而,这些本地环境可能存在安全风险,因为未加密的cookie可以被恶意攻击者窃取和利用。
为了解决这个问题,Chrome 69版本开始要求在localhost或127.0.0.1上使用加密的cookie。这意味着开发人员需要在本地开发环境中使用HTTPS来进行开发和测试,以确保cookie的安全性。
对于开发人员来说,可以采取以下几种方式来解决这个问题:
- 使用HTTPS:在本地开发环境中配置HTTPS,可以使用自签名证书或工具如mkcert来生成有效的本地证书。这样可以确保在localhost或127.0.0.1上使用加密的cookie。
- 使用域名:将本地开发环境绑定到一个域名,而不是使用localhost或127.0.0.1。这样可以避免Chrome的安全限制,并且可以正常使用cookie。
- 使用其他浏览器:如果Chrome对于本地开发环境的限制对你的工作造成了困扰,你可以尝试使用其他浏览器,如Firefox或Safari。这些浏览器可能没有相同的限制,可以继续使用未加密的cookie。
总之,Chrome 69不再接受127.0.0.1上的cookie是为了提高用户的安全性和隐私保护。开发人员可以通过使用HTTPS、使用域名或尝试其他浏览器来解决这个问题。
相关·内容
1回答
我正在为我的本地测试环境开发一个webapp,它在前端使用vite,还开发了一个单独的API后端。
我使用mkcert生成本地开发证书,并将该证书用于后端。
我的问题是,对于前端开发环境,我也可以使用证书,如下面的vite配置所示:
server: {
https: {
key: fs.readFileSync('key.pem'),
cert: fs.readFileSync('cert.pem'),
},
proxy: {
'/v1': {
target: 'https://127.0.
浏览 11提问于2022-03-06得票数 1
回答已采纳
我试图让我在Chrome中的本地开发重新运行,但是Chrome阻止了这一点,并发出了证书无效的消息。即使它不能是证书的日期,正如您在它的屏幕截图中看到的那样:
我只是想知道为什么没有高级的>选项来继续浏览网站,并且能够在本地开发应用程序。
还有几件事要提:
本地开发运行在上。它不可能仅仅是本地主机,因为否则我们的认证仅限于http-cookie将无法在Chrome中工作。
因此,etc/ host下的主机文件被调整为指向本地主机IP入口(127.0.0.1)。
证书是根据这个和这个用openssl生成的。
该证书适用于具有完全相同Chrome版本但使用MacOS
浏览 6提问于2019-11-11得票数 369
我在一个WordPress站点上使用带有动态文本扩展的联系人表单7。这些信息不会存储到数据库中,而是只通过电子邮件发送。有没有方法可以加密电子邮件中发送的信息?
我们将购买并安装用于这些表单的SSL证书,但我并不完全熟悉SSL的工作原理。从https链接发送的任何表单数据是否会自动加密,或者这是我必须实现的东西吗?如果是这样的话,当它到达我们的邮件服务器时,它是如何解密的?
感谢您能提供的任何见解。
浏览 2提问于2013-05-07得票数 1
回答已采纳
通常,如果连接不安全,浏览器不应该发送具有安全选项的cookie(即http而不是https)。
在Firefox或Chrome中,是否有配置选项或插件允许更改特定域的这种行为?
在开发应用程序(在本地主机上)时,为了方便起见,我想使用这样的选项。
浏览 0提问于2016-02-21得票数 0
回答已采纳
3回答
我正在开发一个小型站点w/ Go,我正在尝试从我的服务器上设置一个cookie。
我在本地主机上运行服务器,127.0.0.1别名为端口5080上的5080。
当我收到POST到subdomain-dev.domain.com:5080/login的响应时,我可以看到set-cookie头。答复如下:
HTTP/1.1 307 Temporary Redirect
Location: /
Set-Cookie: myappcookie=encryptedvalue==; Path=/; Expires=Fri, 13 Sep 2013 21:12:12 UTC; Max-Age=900; Ht
浏览 3提问于2013-09-13得票数 46
回答已采纳
2回答
我的cookie设置为安全,但它作为本地主机工作。但是,在主机文件中设置域名后,chrome不会将cookie发送到服务器,从而导致请求失败。
我使用以下cookie集在本地主机上运行我的服务器,cookie将由chrome发送到我的服务器。
cookie := http.Cookie{Name: "XSRF-TOKEN", Value: csrf.Token(r), Expires: expiration, Path: "/", HttpOnly: false, Secure: true}
我已经在我的主机文件中设置了以下内容,并试图从chrome x.tes
浏览 5提问于2021-05-05得票数 0
我们公司在GCP上使用MySQL。
对于prod数据库,我们使用SSL证书-我们为我们的服务提供了一个证书,并为不同的开发人员提供了几个“个人”证书。
目前,我正在为其他开发人员创建新证书,我刚刚注意到GCP只允许创建最多10个(!)每个数据库的证书-如果我们想给每个开发人员颁发自己的个人证书,这是不够的。
有什么方法可以克服这个限制吗?目标是每个开发人员都有一个单独的SSL证书,这个数字比10高得多。
浏览 2提问于2021-03-02得票数 1
1回答
网站可以检索哪些信息,可以在没有cookie的情况下进行以后的识别?
出于兴趣,我跳进了网上营销骗局的兔子洞。我访问的站点*使用了一个名为凭证**的系统来显示“转换”(cq )。我很好奇这个系统会不会被愚弄,因为我看到的交通似乎太高了。
案例证明主页假设我的身份,即使我访问了所有这些网站,而在隐名模式。这个假设相当准确:它假设我的身份是我与工作人员分享我的WiFi的公司。无论是在桌面上还是在移动平台上打印的:
Easily personalize COMPANYNAME website for every visitor.
它甚至想出了正确的域名,COMPANYNAME.DOMAIN
然而,
浏览 0提问于2020-01-21得票数 0
我正在我的本地开发环境(Ubuntu16.04)中开发一个网站,并通过 (连接到本地web服务器)在Chrome (58)上测试这个网站。
运行这个Javascript:
$(document).ready(function() {
if (navigator.geolocation) {
navigator.geolocation.getCurrentPosition(showPosition);
}
});
触发此错误:
getCurrentPosition()和watchPosition()不再适用于不安全的起源。要使用此特性,应考虑将应用程序切换到安全
浏览 4提问于2017-05-30得票数 2
回答已采纳
我使用的一个站点突然移动到一个新域。旧站点301重定向到新站点。我所有的网站设置都丢失了,因为它们存储在旧域的本地存储中。
通常情况下,如果我需要查看本地存储中的所有内容,我会访问该站点并打开开发工具,它就在这里。
然而,如果我现在尝试,我只能看到新的原点上的新的空的本地存储,这对我一点帮助都没有。
如何查看无法加载的站点的本地存储?
我试着通过以下方式打断重定向:
禁用此域的Chrome设置中的重定向(在加载时没有effect)Hitting ESC )(在重复attempts)Writing后失败-attempts)Writing runs)window.addEventListener(
浏览 5提问于2022-09-30得票数 0
1回答
WCF安全-防止中间人攻击
、、、、
我有一个使用传输和消息安全性的WCF服务。我如何保护数据免受恶意的中间人攻击,比如用户使用fiddler并允许fiddler解密HTTPS流量?
浏览 0提问于2011-09-03得票数 3
回答已采纳
2回答
我安装了git。现在,我安装了使用https访问repos的自签名证书,但是Visual (在Windows 7上)并不容易信任它(没有保存它并将其添加到受信任的根证书的手动步骤)。而且,与大多数其他工具一样,它似乎不适用于SSH。这可能会给一些用户带来一些不便。关于如何暂时避开这件事有什么想法吗?
如果我使用lets encrypt替换我的自签名证书,Visual (在Windows 7上使用https URL)能够信任它吗?此外,服务器暂时位于内部,域名尚未解析给外部用户。所以我不能完全肯定加密会起作用。如果我们支付并从另一个CA获得它,作为最后的选择呢?那就行了吗?
有人能帮我找到这个信
浏览 0提问于2017-03-07得票数 1
我正在尝试让webpack-dev-server自动重新加载一个我正在编写的脚本,以便在带有webpack-userscript插件的Tampermonkey中作为用户脚本运行。我怀疑问题是脚本确实在外部网站上运行,而不是在本地主机上运行,所以我不知道这是否可能。
我观察到该脚本试图向https://<external website host>:8080/sockjs-node/而不是ws://localhost:8080/sockjs-node发出请求。我尝试在dev-server配置中使用代理,但它不起作用,而且我不确定这是否真的是正确的方法。
devServer: {
浏览 17提问于2020-05-08得票数 0
回答已采纳
1回答
我正在尝试让https在我的本地主机环境中为Vite工作。Chrome显示无效证书错误。
我已经这样设置了我的vite.config.js文件:
import { defineConfig } from 'vite'
import vue from '@vitejs/plugin-vue'
import fs from 'fs';
export default defineConfig({
resolve: { alias: { '@': '/src' } },
plugins: [vue()],
浏览 7提问于2021-10-02得票数 2
1回答
我正在为一个朋友创建一个网站,主页有一个Google +1按钮,一个Twitter Follow按钮和一个Facebook Like按钮。
当我在Google Chrome的F12菜单中查看Cookie时,左边的列表中有各种各样的谷歌、推特和Facebook站点,以及我自己的站点(目前是本地主机)。
当我查看本地主机的cookie时,发现有15个,并且所有这些cookie都列出了它们的域名为.twitter.com或.google.com
当我删除localhost下列出的所有cookie时,我发现自己注销了我的Google、Twitter和Facebook帐户,尽管我没有删除任何Facebo
浏览 3提问于2012-10-28得票数 0
我正在开发一个基于网络的应用程序,它将被世界上许多国家的许多第三方组织所使用。
基于浏览器的客户端将向共享后端数据库提供敏感数据。
所有国家的所有组织都将在同一个数据库中读取/写入数据。
我希望加密在浏览器中输入的数据,使其在传输到后端数据库时安全。客户端加密。
我还希望在我的数据库中休息时加密数据。
这个应用程序将使用Java、Javascript (REACT.js)和Scala开发。
后端数据库将是MongoDB。
我找不到一个很好的密钥管理示例/描述,例如,密钥是如何正确生成、分发、存储、替换、删除和恢复的。
我有下列选择/决定:
加密的味道,如TripleDES,RSA,Blowfi
浏览 5提问于2016-12-06得票数 1
回答已采纳
我正在将Segment添加到使用Create React app创建的React应用程序中,以跟踪用户的事件。我试图使用Visual Tagger特性,但是当我添加我的开发URL http://localhost:3000时,页面加载了,但是我得到了这个错误:
Your site is not on https
Visual Tagger cannot be used on sites that do not use https. Please change your url in Source Settings to proceed
如果有一种方法可以在本地开发环境中使用此功能,我
浏览 7提问于2020-06-09得票数 0
从一个宽泛的话题缩小范围,我有一个具体的问题(也许有点‘锡箔帽子’)。
这个问题涉及保护客户端和服务器之间在post请求中传输的数据的最佳做法。背景是我正在开发的一个web应用程序,以了解更多关于节点和表达式js的信息。
虽然我使用的示例是登录凭据,但它实际上可能是关于从表单提交到快递服务器的post请求中传输的任何信息。
示例:客户端通过客户端上的按钮单击事件提交表单数据。我使用vue作为前端,但这是一个通用的问题。在我还使用的客户端页面上(在异步函数中):
const resp = await axios.post("http://someurl.com/login", {
浏览 1提问于2018-11-03得票数 3
回答已采纳
我在使用Spring Security为我的无状态应用程序反序列化cookie时遇到了问题。 调用https://localhost:8080/login并成功地进行身份验证后,会生成一个包含JWT令牌和一些其他字段的cookie,特别是Secure、HttpOnly、SameSite=None。例如,它看起来是这样的(token只在本地工作,过期了,不包含有用的信息,可以随意窃取): token=eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOiI2NzA1ZTk1YS1hOTgzLTRiMDItYmVjOC01ZGFkNDM0MzY0NzAiLCJleHAiOjE2M
浏览 31提问于2020-12-28得票数 1
2回答
正如“为什么自签名的https比未加密的比未加密的更不值得信任?”的回答中提到的那样,似乎已经有两份斯诺登后的草案与http流量的机会主义加密这一确切主题有关:
HTTP https://datatracker.ietf.org/doc/html/draft-nottingham-http2-encryption-03的机会加密
HTTP/2 https://datatracker.ietf.org/doc/html/draft-hoffman-httpbis-minimal-unauth-enc-01的最小未认证加密(MUE)
他们在细节上有点紧张;而且,作为参考文档,他们显然不谈论实现细
浏览 0提问于2014-06-30得票数 5
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
