SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现登录后 cookie 根本没被浏览器保存,导致后续请求都拿不到认证信息。是不是因为本地不是 HTTPS?可线上环境是 HTTPS 啊。
我用 fetch 发起登录请求的代码大概是这样:
fetch('/api/login', {
method: 'POST',
credentials: 'include',
headers: {
'Content-Type': 'application/json'
},
body: JSON.stringify({ username, password })
})难道 SameSite=Lax 在 localhost 下会有问题?还是我漏了什么配置?
- 2
回答
44浏览
SameSite=Lax设置后,跨域请求携带Cookie失效怎么办?
我在项目中设置了Cookie的SameSite=Lax和Secure属性,但跨域请求到第三方支付接口时,Cookie没有被携带,导致登录失效。后端返回的Set-Cookie头看起来没问题,前端请求也用...
- 2
回答
51浏览
SameSite=None; Secure设置了,但跨域请求还是丢失Cookie怎么办?
我在开发一个单页应用时,给Cookie设置了SameSite=None; Secure,但跨域请求到后端API时Cookie还是没带上,这是为什么啊? 场景是这样的:前端用Vue跑在https://s...
- 2
回答
47浏览
SameSite=Strict设置后,我的表单提交为什么会失败?
我在后端给登录Cookie设置了SameSite=Strict,但发现用JavaScript提交表单时,请求头里没有携带Cookie,导致认证失败。明明同源的请求啊,这是为什么? 之前用的是SameS...
- 1
回答
26浏览
SameSite属性设置后为什么跨站请求还是被拦截了?
我在登录接口的 Set-Cookie 响应头里加了 SameSite=Lax,但前端从另一个域名发 POST 请求时,浏览器还是没带 Cookie,这是为啥? 我试过改成 SameSite=None,...
- 1
回答
51浏览
SameSite=None; Secure设置后,为何本地开发环境还是报CSRF错误?
我在后端设置了Cookie的SameSite为None并加上了Secure属性,但本地开发环境用HTTPS运行时,跨域请求还是被报CSRF错误。明明生产环境没问题,本地环境该怎么调试啊? 尝试过这样配...
- 2
回答
53浏览
SameSite=None; Secure设置后,为什么移动端浏览器还是无法获取Cookie?
最近在配置SameSite属性时遇到怪事,后端按文档设置了SameSite=None; Secure,PC端Chrome能正常获取到登录态的Cookie,但测试微信内置浏览器和安卓原生浏览器时,请求头...
- 2
回答
105浏览
第三方Cookie设置了SameSite=Strict为什么还是被跨站访问了?
我在电商网站项目里设置了SameSite=Strict和Secure属性,但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie,这是怎么回事? 尝试过在响应头这样配置: Set-Coo...
- 1
回答
37浏览
为什么SameSite=Strict没阻止跨域请求带Cookie?
我在前端调用其他域名的API时,明明设置了SameSite=Strict和Secure,但浏览器还是自动带上Cookie了。后端用PHP设置的响应头是这样的: header("Set-Cookie: ...
- 1
回答
18浏览
前端设置的Cookie需要加密吗?怎么防窃取?
我在做登录功能,后端返回 token 后我用 JS 存到 Cookie 里,但听说 Cookie 容易被 XSS 偷走,是不是得加密?可前端加密好像也没用啊,密钥放哪都不安全…… 现在代码是这样存的:...
- 1
回答
3浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
或者本地装个 mkcert 之类的搞个本地 HTTPS 开发证书,一劳永逸。