私たちは、設定することで、知っているAccess-Control-Allow-Credentials: trueとxhr.withCredentials = trueクロスドメインの転送を実現することができますCookie。ユーザのログイン状態を保存などの目的を。しかし、不適切な使用は、あるでしょうCSRFの危険性。
だから、からChrome 51始まり、ブラウザは、Cookie新たな付加SameSiteのを防止するために、プロパティをCSRF攻撃し、ユーザーの追跡を。
現在の設定はデフォルトではオフになっているが、Chrome 80この機能はデフォルトでオンになった後。
あなたには、いくつかのサードパーティのWebサイトのログイン機能を使用できないときに、この設定の影響を受けかどうかを確認します。
- ユーザーのために、迅速な解決策:
1.プログラムの
Chrome設定、chrome://flags/#same-site-by-default-cookies障害者、その後、ブラウザを再起動します。
スキーム2.ブラウザの低いバージョンでは、選択の速度360を。 - 開発者のために、解決策:
1.プログラムの
SameSite属性値を変更しNoneながらsecureプロパティが設定されていますtrue。そして、バックエンドのサービスドメインへの必要性は、使用する必要がありhttps、アクセスするプロトコルを。
2.実施形態が提供されるのでSameSite = None、あるSCRFリスクは、従って、最適なソリューションが使用され、token代わりにCookie検証するための方法。