Django会话cookie标记为“第三方”并被Firefox阻止
,这是由于浏览器的安全策略所导致的。为了保护用户隐私和安全,现代浏览器通常会对第三方cookie进行限制或阻止。
第三方cookie是指来自不同域名的cookie,而Django会话cookie默认是与应用程序的域名相关联的。当在Django应用程序中使用会话时,会生成一个会话cookie,用于存储用户的会话数据。然而,由于浏览器将Django应用程序视为第三方,因此会话cookie被标记为“第三方”并被Firefox阻止。
为了解决这个问题,可以采取以下几种方法:
- 使用HTTPS协议:使用HTTPS协议来加密通信,这样可以提高安全性并减少被阻止的可能性。
- 设置SameSite属性:在Django的设置中,可以将会话cookie的SameSite属性设置为"None",以允许跨站点访问。这样可以解决Firefox阻止的问题。具体设置方法如下:
- 设置SameSite属性:在Django的设置中,可以将会话cookie的SameSite属性设置为"None",以允许跨站点访问。这样可以解决Firefox阻止的问题。具体设置方法如下:
- 推荐的腾讯云相关产品:腾讯云SSL证书,提供了HTTPS加密通信的解决方案。产品介绍链接地址:腾讯云SSL证书
- 使用其他存储后端:Django提供了多种会话存储后端选项,如数据库、缓存等。可以考虑使用其他存储后端来存储会话数据,以避免被浏览器阻止。
- 推荐的腾讯云相关产品:腾讯云数据库MySQL,提供了可靠的数据库存储解决方案。产品介绍链接地址:腾讯云数据库MySQL
总结:通过使用HTTPS协议、设置SameSite属性或使用其他存储后端,可以解决Django会话cookie被Firefox阻止的问题,提高应用程序的兼容性和安全性。
相关·内容
2回答
即使使用samesite=None,chrome也会阻塞cookie
google-chrome、flask、cookies、samesite
我有一个酒瓶应用程序托管在heroku作为一个iframe嵌入到我的一个网站。假设a.com将这个<heroku_url>.com呈现为iframe。当用户访问a.com时,呈现<heroku_url>.com并创建会话。
from flask import session, make_response
@app.route("/")
def index():
session['foo'] = 'bar'
response = make_response("setting cookie")
浏览 4提问于2020-09-04得票数 0
回答已采纳
4回答
不会申请证书,怎么搞?
官方文档、SSL 证书
请描述您的问题
标题:自动诊断结果查看指引 - SSL证书 - 产品文档 - 帮助与文档 - 腾讯云
地址:https://cloud.tencent.com/document/product/400/6760
浏览 342提问于2018-01-28
1回答
了解Django CSRF_COOKIE_SAMESITE和CSRF_TRUSTED_ORIGINS
django、iframe、cross-domain、csrf
显然,我在理解跨域环境中关于CSRF参数的Django (2.2.4)设置的影响时遇到了一个问题。
正如我已经注意到的,如果我想要将我的Django应用程序放入另一个域名的网站的iframe中(例如,foo.com上的Django应用程序和bar.com上的iframe ),以便在我的Django应用程序上发送表单,我必须设置SESSION_COOKIE_SAMESITE = None。
但是,CSRF参数是什么呢?经过一些试验,我注意到只有在Django设置中设置了CSRF_COOKIE_SAMESITE = None的情况下,我才能在iframe中发送Django表单。
但是CSRF_TR
浏览 136提问于2019-08-20得票数 3
2回答
通过代理servlet设置安全cookie
java、security、tomcat、cookies
我有一个web应用程序,可以通过代理sevlet访问用户-更大的web应用程序的一部分。浏览器与大型应用程序之间的通信使用ssl加密。从我的嵌入式应用程序中,我想设置一个安全的cookie,它指示用户的会话。代理servlet和我的web应用程序之间的通信没有加密,所以当我设置会话id cookie时,它没有安全标志。我的应用程序在tomcat上运行,来自这个tomcat的响应是通过代理servlet代理到客户端浏览器的。
这个cookie是否是安全的,不会被其他人劫持,尽管它并不是安全的?在这种情况下,浏览器可以在不安全的连接中发回cookie吗?
编辑:
为了清楚起见,我将详细说明该解决方
浏览 9提问于2012-07-31得票数 2
1回答
Django没有在跨站点json请求中创建会话cookie。
django、session-cookies、csrf、cross-site
我希望从第三方域(在本例中是我的桌面/本地主机服务器)对驻留在my_domain.com/上的远程Django服务器进行跨站点JavaScript调用,并使用session/cookies存储会话状态,调用my_domain.com/msg/ my _service上公开的REST WS。
但是,当我从桌面浏览器或本地主机Django服务器(JS在index.html中)调用此服务(托管在远程Django服务器上)时,Django不创建会话cookie,远程服务器上也不存储会话状态。但是,当我从Postman或从同一个localhost JS调用此服务到同一个Django服务的localhos
浏览 18提问于2022-04-24得票数 2
1回答
SSL证书无效,颁发给的域名也不对,帮帮忙大神们?
云服务器、tomcat、SSL 证书
📷
添加描述
SSL证书是通过腾讯云服务器文件验证后下载的,用的tomcat配置,配置后访问的链接提示,证书无效,颁发给的地址不是我们的域名,申请时间也不对,有大神知道怎么回事吗
浏览 921提问于2018-12-27
3回答
Perl中web控件面板登录的唯一web浏览器标识ID
perl、authentication、cookies、encryption
web浏览器是否有可以传递给Perl脚本的唯一ID?(比如你在商店里买的一种独特的系列产品)
例如:如果我安装了一个web浏览器,这个web浏览器能为PHP或Perl脚本提供一个唯一的标识ID吗?
我之所以要寻找独特的东西,是为了做以下几件事:
我有一个包含用户名和密码的用户数据库。
用户名/密码被加密,并设置为cookies到用户的web浏览器,以便用户可以登录和输出到我的web应用程序。(登录时加载的每个网页都会查看cookie,如果cookie用户/pass是正确的,则授予访问权限)
如果黑客设法从用户那里窃取加密用户名和密码cookie,他将能够登录窃取的加密细节。
浏览 7提问于2014-05-23得票数 18
1回答
SESSION_COOKIE_SECURE不加密会话
python、security、session、flask
我正试图在我的烧瓶网络应用程序上设置一些安全性。作为第一步,我将通过将SESSION_COOKIE_SECURE设置为true来确保会话cookie的安全性。
但是,在我从“检查元素”中获得会话cookie之后,我可以很容易地解码会话cookie,无论我是否添加SESSION_COOKIE_SECURE都没有区别。
这是我的代码:
from flask import Flask, request, app, render_template, session, send_file, redirect
MyApp = Flask(__name__)
MyApp.secret_key = "
浏览 2提问于2018-09-24得票数 2
回答已采纳
2回答
ViewStateUserKey作为HttpCookie存储是否安全?
asp.net、security
这个链接()告诉我,从Visual 2012开始,微软将内置的跨站点请求伪造(CSRF)保护添加到新的web窗体应用程序项目中。向您的解决方案中添加一个新的.NET Web应用程序,并查看页面后面的Site.Master代码。此解决方案将对从Site.Master页面继承的所有内容页应用CSRF保护。
Visual 2012自动生成的代码生成随机GUID,然后将GUID存储到HttpCookie中,然后由不同的网页使用该GUID。在每个页面上,这个GUID被分配给Page.ViewStateUserKey,以便ViewStateUserKey能够保护CSRF攻击。条件是应用程序必须使用SSL。
浏览 3提问于2013-05-03得票数 0
1回答
对API服务器使用SSL证书是否需要域?
api、ssl、server、ssl-certificate
我使用的是一个具有有效SSL证书的域上的React前端应用程序,该证书调用VPS (Ubuntu20.04,apache2)上的Django后端应用程序,该应用程序没有注册域名(而是使用服务器的IP进行调用)。服务器还没有一个有效的SSL证书来阻止该应用程序接收资源。自签名不起作用,因为它在浏览器中无效(我可能错了)。
我是否还需要为后端API服务器注册一个域名才能使SSL证书有效,或者我是否可以购买SSL证书并在那里工作?
浏览 4提问于2021-07-27得票数 1
回答已采纳
1回答
使用withCredentials的Ajax调用: true不是在请求中发送cookie
django、ajax、session-cookies、django-cors-headers
我的场景:example.com是用户正在访问的django页面。会话由服务器设置。现在,我在另一个名为xyz.com的域上有了前端应用程序,现在,我需要调用example.com上的app,所以我尝试使用withCredentials: true进行ajax调用。但它似乎并没有在请求中发送cookie 'sessionId‘。
我已经看到了一些堆栈溢出答案,但建议的答案不起作用。
我一直在尝试的是:我的后端是用Django写的,所以我尝试设置
CORS_ALLOW_CREDENTIALS = True
# Cross Origin Request Settings (CR
浏览 0提问于2018-10-29得票数 1
回答已采纳
1回答
腾讯云产品如何选择?
云服务器、腾讯云、部署、产品、域名
我目前有一个域名,和一台自己的物理机,并且只能通过ipv6访问,但是运营商屏蔽了80端口。现在我在云服务器上部署了一套应用,通过80端口访问,现在云服务器快到期了,我想把应用迁移到自己的服务器上面。但是我就想通过域名+80端口访问机器上部署的应用,有没有类似的产品可以让我将域名映射到腾讯云的ip,通过80端口访问,然后再由腾讯云转发到我的服务器上的81端口(只需要HTTP转发就行)
浏览 144提问于2023-08-02
2回答
Express / Node :浏览器在secure=true、sameSite:'none‘时不设置cookie
node.js、express、cookies、express-session
如果我在本地运行服务器,那么它会设置cookie,但当它在线托管时:
If secure=false,sameSite:'none'然后我得到以下错误
Cookie“connect.sid”将很快被拒绝,因为它将“sameSite”属性设置为“none”或无效值,而没有“secure”属性。要了解有关“sameSite”属性的更多信息,请阅读
然后我试着用secure=true
if secure=true,sameSite:“无人”-
可以工作,当服务器在本地托管时,可以设置cookie。但是,当它托管在heroku中时,cookie没有设置,我也没有错误。
客户端网
浏览 8提问于2020-07-12得票数 18
1回答
带有自签名证书的后端
ssl、https、vue.js、kubernetes
我正在构建一个后台/前端分离的网站。目前,这个网站是托管在我的Kubernetes集群在家里。前面有一个吊舱,后端有另一个。
这些吊舱可以通过Traefic获得。我有内部DNS名称(即backend.home.local和frontend.home.local)来访问它。我已经生成了一个自签名的CA来处理我的.home.local私有域上的SSL,这样我就可以通过注册我的私有CA的计算机在我的专用网络中找到它们。
我的前端也使用相同的url (在.home.local中)通过HTTPS与我的后端进行通信。我的前端知道CA (我像一样进行)。
我也有一个外部域名指向我的前端。我可以通过HTTPS
浏览 3提问于2018-04-28得票数 1
回答已采纳
2回答
为什么我不能看到我的(本地主机)饼干存储在电子应用程序中?
cookies、electron
我有一个角度应用程序使用电子作为桌面包装。还有一个单独的Django后端,它为电子客户端提供HTTP。
因此,通常情况下,当我调用登录API时,响应头将有一个包含Set-Cookie的sessionId字段。我可以清楚地看到sessionId在邮递员,然而,我看不到这个饼干在我的角度应用程序(电子开发工具)。
经过进一步的调试,我注意到在开发工具中,我的Set-Cookie旁边有一个警告标志。它说,由于SameSite被设置为Lax,cookie被阻塞。因此,我找到了一种修改服务器代码的方法,以返回一个None samesite (连同一个Secure属性;我使用的是HTTP):
# sett
浏览 2提问于2021-09-30得票数 0
1回答
第三方javascript |设置Cookie不工作
javascript、cookies、iframe、xmlhttprequest、third-party-cookies
我正在开发一个javascript嵌入式聊天小部件,可以部署在客户的网站上。我试图让API调用(使用XMLhttp配置为真的withCredentials )从我的Iframe小部件到后端,以获取一些数据和设置cookie (JWT),我得到了200个响应,并在标题中看到了设置cookie,但在控制台应用程序中看不到它。 res.cookie("__jlcw", "token", {path:'/', sameSite: "none", secure: true }); ? 有人能帮我一下吗?我是不是遗漏了什么?
浏览 15提问于2021-03-19得票数 0
3回答
是否可以使用ssl (或其他加密的)连接连接到代理?
tls、proxy
我想知道的是,是否可以使用ssl (或其他加密的)连接连接到代理?(我怀疑这是可能的,因为TOR加密了用户与其网络的连接。)如果存在这样的东西,那么它被称为什么,它是否易于实现(比如使用firefox和foxyproxy)?
我所能找到的只是关于是否有可能通过代理中继(或隧道) ssl连接的问题,但我不打算这样做。我想要做的是有一个到代理的ssl连接(所以我和我的代理之间的通信不能被任何中介监听)。我不想通过ssl加密代理到目标url的连接(只有当目标url支持它时)。
顺便说一句,在我的例子中,我使用的是foxyproxy和firefox,但问题更多的是关于一般原则。我也知道TOR,但我并不
浏览 0提问于2012-04-11得票数 11
回答已采纳
1回答
无法从Go在客户端设置cookie。
http、go、heroku、cookies、jwt
我有一个用Go写的后端,托管在Heroku上,让我们称之为,https://foo.herokuapp.com。我有一个前端托管在另一个域上,让我们称之为,https://ui.example.com。后端API有一个端点/api/user/login,它以cookie的形式返回一个JSON令牌,如下所示:
http.SetCookie(w, &http.Cookie{
Name: "token",
Value: token, // the JWT
HttpOnly: false, // for testin
浏览 2提问于2022-01-11得票数 3
回答已采纳
3回答
第三方shopify应用程序中的samesite none不工作
cookies、shopify、samesite
我们正在尝试在iframe中打开的shopify应用中设置samesite=none;secure,但是我们意识到它被google chrome屏蔽了。 我们正在测试chrome 80测试版 我们尝试了javascript和php,但都不起作用。应用程序是嵌入式应用程序,在iframe中加载这里是php代码 header('Set-Cookie: nameee=value; Max-Age=100; Domain=xyyyyy.com; Path=/; SameSite=None; secure;'); 我们也尝试了java脚本。 document.cookie = &
浏览 46提问于2020-01-31得票数 3
回答已采纳
1回答
Chrome过滤掉SameSite:无安全cookie
google-chrome、samesite
我们有一个带有iFrame的web应用程序,它需要一个cookie来访问我们的服务器。我们已经用SameSite=None;Secure值设置了这个cookie,但是Chrome浏览器仍然过滤掉了这个cookie。
过滤掉cookie列表:
图片中的第三个cookie被过滤掉了。我认为带有"SameSite=None;Secure“的cookie应该随请求一起发送。我错过了什么?
浏览 15提问于2020-05-29得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
