个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
Cookies 的 SameSite 概念绝对是一个难以掌握的概念......
为了准备 Chrome 80 的更改,我正在尝试衡量缺少 SameSite 属性对我的 cookie 的影响。我有以下配置:
Set-Cookie: SomeCookie=value; path=/; secure; httponly ) 并重定向到 auth.mysite.com SameSite 属性的缺失被 Chrome 80 视为
SameSite=Lax,所以这很好用。
最佳答案
上面的答案是不正确的......让我澄清一些困惑。
1. 就 SameSite 而言,2 个站点何时是“同一站点”?
无论 cookie 的域属性如何,当两个站点的 eTLD+1(也称为可注册域)相同时,它们都被视为相同。有关更详细的解释,请参阅我的回答 here。
因此,在这种情况下,假设 eTLD 是“.com”,我们会认为 auth.mysite.com 和 main.mysite.com 是同一个站点,因为 eTLD+1 是两者的 mysite.com。另一方面,anything.mysite.com 和 othersite.com 始终是跨站点的。无论是顶级导航还是子资源请求(如 iframe 中的图像或文档),都是如此。
2. Domain 属性是什么意思?
如果使用 Set-Cookie: cookiename=cookievalue; Domain=mysite.com 设置 cookie,则 cookie 将根据请求发送到任何匹配 *.mysite.com 的域(即所有子域)。
这是一种调整 cookie 范围的方法。例如,您可以将 Domain=mysite.com 用于您所有域都关心的全局 cookie,将 Domain=corp.mysite.com 用于您公司所有内部域都关心的 cookie(但不是您的外部域,例如)。
默认(对于未明确设置域属性的 cookie)是仅将 cookie 发送到设置 cookie 的域。 (没有子域。)
您不能设置与请求的 URL 不匹配的域属性。
(此外,没有 cookie 的“来源”属性之类的东西。)
3. 那么域与 SameSite 有什么关系?
没有什么。它们是独立的 cookie 属性。 Domain 不关心同站点/跨站点上下文,SameSite 不关心 cookie 的域/子域范围。
4. 当 mysite.com 嵌入到 othersite.com 的 iframe 中时,为什么不发送 default-Lax cookie?
这被视为跨站点上下文,因为用户 URL 栏中的站点是 othersite.com,而请求是向 mysite.com 发出的,并且它们具有两个不同的 eTLD+1。
因为它在 iframe 中,这不是顶级导航,所以所有跨站点请求都将排除 SameSite cookie。
如果它是顶级导航(用户单击将他们从 othersite.com 带到 mysite.com 的链接),那么请求方法将很重要。在绝大多数情况下,这将是一个 GET 请求,因此将发送 Lax 模式下的 cookie。
希望这可以帮助!您可以引用最新版本的 spec 了解更多详情。
关于google-chrome - SameSite cookie、框架、子域和重定向,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59785832/
25
4
0
这是我的本地域名 http://10.10.1.101/uxsurvey/profile/dashboard 在 Controller 中,我为用户列表设置了一个操作 redirect(control
要处理 Canonical URL,最佳做法是执行 301 重定向还是更好地为 www 和非 www 域使用相同的 IP 地址? 例如: 想要的规范 URL/域是 http://example.com
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
我想创建一个 weblogic 集群,其中有两个托管服务器,每个服务器在物理上独立的远程计算机上运行 根据weblogic文档 All Managed Servers in a cluster mus
我正在运行 grails 3.1.4,但在创建允许我将多个域对象绑定(bind)到其他几个域对象的模式时遇到了问题。作为我正在尝试做的一个例子: 我有三个类(class)。书籍、作者和阅读列表。 作者
我试图使用@count函数来根据它获取数据,但是在没有崩溃报告的情况下它以某种方式崩溃了。 这是代码 class PSMedia: Object { @objc dynamic var id
有谁知道是否有办法只输入字母字符而不输入数字?我想过这样的事情 CREATE DOMAIN countryDomain AS VARCHAR(100) CHECK( VALUE ??? );
我的代码: const checkoutUrl = 'https://example.com/checkout/*' window.onload = startup() function st
一些不是我编写的应用程序,也不是用 PHP 编写的,它为域 www.example.com 创建了一个 cookie。 我正在尝试替换该 cookie。所以在 PHP 中我做到了: setcookie
什么是 oauth 域?是否有任何免费的 oauth 服务?我可以将它用于 StackApps registration 吗? ?我在谷歌上搜索了很多,但找不到答案。 最佳答案 这是redirect_
自从 In October 2009, the Internet Corporation for Assigned Names and Numbers (ICANN) approved the cre
我使用 apache 作为我的应用程序 Web 服务器的代理,并希望即时更改与 sessionid cookie 关联的域名。 该cookie有一个与之关联的.company.com域,我想使用apa
我只想托管一个子域到cloudflare。我不想将主域名的域名服务器更改为他们的域名服务器。真的有可能吗? 最佳答案 是的,这是可能的,但是需要通过CloudFlare合作伙伴进行设置,或者您需要采用
When using socket in the UNIX domain, it is advisable to use path name for the directory directory m
想象两个共享一个域类的 Grails 应用程序。也许是 Book 域类。 一个应用程序被标识为数据的所有者,一个应用程序必须访问域数据。类似于亚马逊和亚马逊网络服务。 我想拥有的应用程序将使用普通的域
我有一个包含字段“URL”的表单。第一部分需要用户在文本框中填写。第二部分是预定义的,显示在文本框的右侧。 例如,用户在文本框中输入“test”。第二部分预定义为“.example.com”。因此,总
如果我要关闭并取消分配 azure 中的域 Controller ,从而生成新的 vm Generationid,我需要采取哪些步骤来恢复它? 最佳答案 what steps do I need to
我想尝试使用 Azure 作为托管提供商(我有一个域)。我读过那篇文章https://learn.microsoft.com/en-us/azure/app-service-web/web-sites
所以.... 我想知道是否有人可以在这方面协助我? 基本上,我已经创建了一个自托管的Docker容器,用作构建代理(Azure DevOps) 现在,我已经开始测试代理,并且由于我们的放置文件夹位于W
我是一名优秀的程序员,十分优秀!