部分浏览器 set-cookie 不成功踩坑记录-Toy模板网

这篇具有很好参考价值的文章主要介绍了部分浏览器 set-cookie 不成功踩坑记录。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

事件起因：

公司正在做一个sso的单点登录的项目，做完之后，在测试阶段，不同的终端的兼容测试时候，好几个不同的浏览器出现了不同的问题，有登录之后自动退出，有登陆不成功等问题。

在 pc 端只有 uc 浏览器不成功，移动端有 safari、360浏览器、qq浏览器、uc浏览器等。

结果排查：

后面具体查询，发现是由于后端在请求响应头设置 set-cookie 来处理 cookie 数据没有生效。由于数据没有正常写入 cookie 中，导致了上面各浏览器登录不成功的问题。

问题解决：

而最终引发问题的原因是 set-cookie 中的 samesite 的兼容性引起的。

基于安全的考虑，需要给cookie加上Secure和HttpOnly属性，HttpOnly比较好理解，设置HttpOnly=true的cookie不能被js获取到，无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true，那么这个cookie只能用https协议发送给服务器，用http协议是不发送的。会话cookie中缺少Secure属性会导致攻击者可以通过非HTTPS页面窃取到用户的cookie信息，造成用户cookie信息的泄露。cookie中的Secure指的是安全性。通过设定cookie中的Secure，可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问，如果启用Secure属性，则浏览器仅仅会在HTTPS请求中向服务端发送cookie内容。在WEB应用中，对于敏感业务，如：登录或者付款，需要使用HTTPS来保证内容的传输安全，而在用户成功获得授权之后，获得的客户端身份cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面拿到，从而造成重要的身份泄露。

解决方案：nginx中添加跨域并设置 set-cookie 后加入SameSite=None

nginx设置如下：文章来源地址https://www.toymoban.com/news/detail-709231.html

server {
    listen 443 ssl http2;
    server_name www.demo.com;
    
    ssl_certificate /etc/letsencrypt/live/cat73.org/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/cat73.org/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/cat73.org/chain.pem;
    
    # add_header X-XSS-Protection "1; mode=block";
    # add_header X-Frame-Options SAMEORIGIN;
    add_header Strict-Transport-Security "max-age=15768000";
    #允许跨域请求的域，* 代表所有
      add_header 'Access-Control-Allow-Origin' *;
      #允许带上cookie请求
      add_header 'Access-Control-Allow-Credentials' 'true';
      #允许请求的方法，比如 GET/POST/PUT/DELETE
      add_header 'Access-Control-Allow-Methods' *;
      #允许请求的header
      add_header 'Access-Control-Allow-Headers' *;
	  
	  #add_header Set-Cookie "Path=/; HttpOnly; Secure;SameSite=None";

    location / {
        root /var/www/html;
    }
    
    location /api {
        proxy_pass http://localhost;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 配置位置如下
        proxy_cookie_path / "/; httponly; secure; SameSite=None";
    }
}

到了这里，关于部分浏览器 set-cookie 不成功踩坑记录的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！