chrome 同站策略（samesite）问题及解决方案

痛定思痛。 2023-01-03 01:40 2039阅读 0赞

## 一、同站策略问题 ##

chrome自版本80之后，出现了所谓同站策略问题。

即，在A页面请求B页面，如果chrome发现它们不是同一个站点的话，就不传cookie给B页面所在的服务器。众所周知，原本cookie是会附在浏览器到服务器的每个请求（request）里的，仿佛这是理所应当，自然而然的，现在好了，chrome区分情况，不一定允许这么干了。

这样的后果是什么呢？就是有些功能以前没问题的，现在不行了。拿我们项目来说，原本我们有些WEB项目，会用iframe将其他项目的一些页面嵌进去，看上去就好像同一个系统一样，这叫界面集成吧，很正常的行为。两边项目的自动登录什么的都搞好了，一直运行正常。后来升级了浏览器，发现嵌进去的页面数据出不来。程序没有做任何更改，最后发现是账号登录问题，嵌进去的页面始终处于无法登录状态，从而导致获取不了数据。

具体来说，cookie是由服务器分配给浏览器的，相当于给了浏览器一个访问凭证。浏览器每次访问服务器的时候，都会带上这些个凭证。现在由于浏览器策略改变，嵌进去的页面与服务器交互的时候，无法带上cookie，服务器检索不到这个凭证，就每次都给页面分配一个新的cookie，前后对应不上，当然就登录不了了。

其实，chrome一直有这个同站策略，Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 [CSRF 攻击][CSRF]和用户追踪。SameSite可以设置三个值：

> Strict  
> Lax  
> None

Strict最为严格，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。

Lax规则稍稍放宽，分情况处理，具体如下  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xlZnRmaXN0_size_16_color_FFFFFF_t_70_pic_center]  
None的话，就不做是否同站的检查和限制。以前，chrome默认SameSite=None，80版本以后则默认是Lax了。这也是为什么chrome升级以后，程序突然异常的缘故。

## 二、解决方案 ##

**1、修改浏览器设置**  
这种方法简单粗暴，直接将SameSite的属性设置回到以前的None状态。姑且不论用户是否愿意，但单就每台机的浏览器都要进行设置而言，已经违背了BS架构应用的最大优点，就是客户端无须安装部署这一宗旨。所以我觉得这是一个实在没有别的办法的时候，才不得不采取的措施。

设置方法如下：

1）chrome地址栏输入chrome://flags  
2）通过禁用“SameSite by default cookies”和“Cookies without SameSite must be secure”功能开关  
3）重新启动浏览器

**2、Set-Cookie：SameSite=None**  
就是将response的header设置Set-Cookie：SameSite=None。

Set-Cookie: SameSite=None; Secure

[Set-Cookie][]

这里有个疑问，谁来设置这个set-cookie?以上述我们项目为例，A项目的页面用iframe嵌入了B项目的页面，是A项目来设置set-cookie还是B项目？应当是B。因为嵌入的是B项目的页面，response来自B服务器，A使不上劲。

注意必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。这意味着，B项目必须采用https？不过我试了几下，发现没什么效果。也许我的A项目本身是http，需要A和B都为https才可以？不清楚。

不过有个设置 SameSite 为 none的实例。以 Adobe 网站为例：https://www.adobe.com/sea/，查看请求可以看到：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xlZnRmaXN0_size_16_color_FFFFFF_t_70_pic_center 1]  
**3、Nginx做网站映射**  
SameSite策略针对的是不同站的请求，同站就没有问题。那么A项目嵌入B项目的页面，将B站点映射为同一个站点不就好了？同站与同源（非跨域）是不一样的，我感觉同站比同源要严格一些，跨域的话，顶级域名相同就可以了，同站的话，域名要保持一致，端口可以不一样。映射的话，可以域名或IP相同，端口不同。

[同站与同源的区别很复杂，可以看看这里。][Link 1]

映射站点的不二选择，当然是Nginx了。比如A项目在我本地，http://localhost:8081，现在嵌入了B项目的页面，B项目地址为http://192.168.0.248:8082/，现在需要映射为http://localhost:8082。

1）新建一个Nginx的配置文件【nginx所在目录】/conf/nginx2.conf

worker_processes  1;
    
    error_log  logs/error.log debug;
    
    events {
        worker_connections  1024;
    }
    
    http {
        server {
    		listen       8082;  
            server_name  localhost;  
    		location / {
    			proxy_pass http://192.168.0.248:8082/;
    		}
        }
    }

2）运行nginx

nginx.exe -c D:\soft\nginx-rtmp-win32-1.2.1\conf\nginx2.conf

## 三、总结 ##

谷歌浏览器的这种同站策略是一种傲慢，虽然它也允许B服务器设置SameSite=None，但要跟https绑定。网络有互联网和局域网之分，安全从来都是相对的，要跟付出的代价一起衡量。在局域网中，A、B项目都是自己开发的，嵌入有何不可？https的话，要制作证书，本身是非常繁琐的。幸好其他浏览器还没有跟进。

[Cookie 的 SameSite 属性][Cookie _ SameSite]  
[浏览器系列之 Cookie 和 SameSite 属性][Cookie _ SameSite 1]

[CSRF]: https://blog.csdn.net/leftfist/article/details/105746331
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xlZnRmaXN0_size_16_color_FFFFFF_t_70_pic_center]: /images/20221119/03bb7db94bd544578f8600214eb6e181.png
[Set-Cookie]: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xlZnRmaXN0_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221119/37fdb2dcf3fb4d048b9b082fa312999f.png
[Link 1]: https://blog.csdn.net/azl397985856/article/details/107054007
[Cookie _ SameSite]: http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html
[Cookie _ SameSite 1]: https://github.com/mqyqingfeng/Blog/issues/157