背景
今天子涵先生,收到小伙伴反馈说80版本的chrome浏览器,cas登录失败了。
小伙伴还是非常给力的,场景说明也非常具体:chrome 80 浏览器下,无法访问原本通过 iframe 形式嵌入的页面,并在控制台报如下错误:
A cookie associated with a cross-site resource at http://ip/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at
https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.
经查询相关资料,原来是Google在2020年2月4号发布的 Chrome 80 版本,中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上SameSite=Lax 属性,并且拒绝非Secure的Cookie设为SameSite=None,此举是为了从源头屏蔽 CSRF 漏洞。
cas为啥会受影响?
cas的认证过程中,会存储TGC到浏览器的cookie中,谷歌浏览器的升级,导致 chrome 在跨站(cross-site)的情况下是否已经无法set cookie,从而导致了cas的认证过程中断。
受影响的场景
下列已知场景会在 Chrome 80 中受到影响:
- 组件数据基于第三方登陆态的 API 请求
检查您的组件是否使用了 API,并且 API 是否基于第三方网站的登录态返回相关用户数据,如果是,请往下看:
使用的 API 为 HTTPS 协议:请看 方案三
使用的 API 为 HTTP 协议:请看 方案三 - http 本地部署
影响:Chrome 80 会拦截 http 协议下的登陆功能,导致整个本地部署服务无法使用
解决方案:方案一 或 方案二 或 方案三
解决方案
方案一 手动设置
Chrome 中打开 chrome://flags/#same-site-by-default-cookies 和 chrome://flags/#cookies-without-same-site-must-be-secure ,设置为 Disabled ,重启浏览器。
方案二 版本回退
降级到 Chrome 79 及以下版本,并关闭自动更新。
方案一、二需要用户改变浏览器环境,用户肯定不乐意……
方案三 (非同域应用)
此场景需要将 API 切换为 HTTPS 协议(需要有 SSL 证书),并且检查响应头中的 Set-Cookie 中是否包含了 SameSite=None 和 Secure字样。
方案四(同域应用)
把所有应用做到同域。例如使用nginx反向代理。
甲方的系统一般都是由多方共同参与的,出现问题的场景正好是,A供应商的系统通过iframe的方式集成了B供应商的页面,B供应商的系统是使用cas实现单点的。对于我们来说,方案四就行不通咯。
资料引用:
1、关于 Chrome (谷歌浏览器)升级到 80 后可能产生的影响以及解决方案
2、关于 chrome 80 后出现的 SameSite 问题
感谢您的赏读。客官,点赞、留言再走呗~或者留下您的问题一起探讨
