私たちは、設定することで、知っているAccess-Control-Allow-Credentials: true
とxhr.withCredentials = true
クロスドメインの転送を実現することができますCookie
。ユーザのログイン状態を保存などの目的を。しかし、不適切な使用は、あるでしょうCSRFの危険性。
だから、からChrome 51
始まり、ブラウザは、Cookie
新たな付加SameSiteのを防止するために、プロパティをCSRF
攻撃し、ユーザーの追跡を。
現在の設定はデフォルトではオフになっているが、Chrome 80
この機能はデフォルトでオンになった後。
あなたには、いくつかのサードパーティのWebサイトのログイン機能を使用できないときに、この設定の影響を受けかどうかを確認します。
- ユーザーのために、迅速な解決策:
1.プログラムの
Chrome
設定、chrome://flags/#same-site-by-default-cookies
障害者、その後、ブラウザを再起動します。
スキーム2.ブラウザの低いバージョンでは、選択の速度360を。 - 開発者のために、解決策:
1.プログラムの
SameSite
属性値を変更しNone
ながらsecure
プロパティが設定されていますtrue
。そして、バックエンドのサービスドメインへの必要性は、使用する必要がありhttps
、アクセスするプロトコルを。
2.実施形態が提供されるのでSameSite = None
、あるSCRF
リスクは、従って、最適なソリューションが使用され、token
代わりにCookie
検証するための方法。