写在开头
小编是一名前端攻城狮,
前一天晚上, 因为追新, 就升级了 chrome 80.0.3987.149 ,
第二天上班, 悲剧了, 本地 localhost 无法登陆在开发的网站. 账号密码没有变啊, dev 环境也能登陆呀, 为什么本地就是不行呢? 各种排查找不到所以然, 主要是别人的开发环境是好的
就 TMD 纳闷了. 回家睡一觉, 把电脑睡坏了? 也没对它怎么着啊
最后发现浏览器爆出这样的警告
究其原因
在 I/O 开发者大会上,Google 宣布 Chrome 将引入两项隐私保护和安全功能。其一称之为 same-site cookies ,另一个防指纹的 anti-fingerprinting protection。same-site cookies 是基于 Chrome 和 Mozilla 开发者花了三年多时间制定的 IETF 标准。
该标准描述了 HTTP 头文件中的一个新属性 SameSit,它由网站设置,描述了 cookies 加载的情况。严格的 SameSite 属性意味着只能加载同一个网站的 cookies,宽松或缺省意味着可以加载跨站 cookies
所有没有设置 SameSite 属性的旧 cookies 将被自动归为缺省,浏览器将会视其为跨站 cookies。
anti-fingerprinting protection 则是防止网络广告商(非 Google)滥用用户指纹技术跟踪用户。
解决问题
下面给客官解决问题
1.采用两套cookie 例如原cookie中已经种入了session-id=xxxxx,可以维持不变,再额外种入另一个cookie session-id-2=xxxxx同时设置特性SameSite为none secure: true。这样可以兼容新旧版的所有浏览器。这样就要求后端取得时候判断session-id不存在,再取cookie session-id-2的值
2.JWT方案,统一把token放在header的authorization,就不存在跨域携带cookie的困扰了
第一个方案主要适配在于后端,前端基本不需要变动,
第二个方案需要前后端做一定的改造,视情况而定
最快的解决方案
打开chrome 输入chrome://flags/搜索 SameSite by default cookies
找到SameSite by default cookies和Cookies without SameSite must be secure
将上面两项设置为 Disable
网友评论