第三方Cookie设置了SameSite=Strict为什么还是被跨站访问了?
我在电商网站项目里设置了SameSite=Strict和Secure属性,但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie,这是怎么回事?
尝试过在响应头这样配置:
Set-Cookie: sessionId=abc123; Path=/; SameSite=Strict; Secure但第三方广告iframe里的JavaScript依然能通过document.cookie获取到值。是不是还有其他配置没考虑到?比如CSP策略或者Cookie的HttpOnly设置有没有冲突?
- 2
回答
32浏览
SameSite=Strict设置后,我的表单提交为什么会失败?
我在后端给登录Cookie设置了SameSite=Strict,但发现用JavaScript提交表单时,请求头里没有携带Cookie,导致认证失败。明明同源的请求啊,这是为什么? 之前用的是SameS...
- 1
回答
15浏览
为什么SameSite=Strict没阻止跨域请求带Cookie?
我在前端调用其他域名的API时,明明设置了SameSite=Strict和Secure,但浏览器还是自动带上Cookie了。后端用PHP设置的响应头是这样的: header("Set-Cookie: ...
- 2
回答
31浏览
SameSite=Lax设置后,跨域请求携带Cookie失效怎么办?
我在项目中设置了Cookie的SameSite=Lax和Secure属性,但跨域请求到第三方支付接口时,Cookie没有被携带,导致登录失效。后端返回的Set-Cookie头看起来没问题,前端请求也用...
- 2
回答
35浏览
SameSite=None; Secure设置了,但跨域请求还是丢失Cookie怎么办?
我在开发一个单页应用时,给Cookie设置了SameSite=None; Secure,但跨域请求到后端API时Cookie还是没带上,这是为什么啊? 场景是这样的:前端用Vue跑在https://s...
- 2
回答
42浏览
SameSite=None; Secure设置后,为什么移动端浏览器还是无法获取Cookie?
最近在配置SameSite属性时遇到怪事,后端按文档设置了SameSite=None; Secure,PC端Chrome能正常获取到登录态的Cookie,但测试微信内置浏览器和安卓原生浏览器时,请求头...
- 1
回答
24浏览
SameSite=None; Secure设置后,为何本地开发环境还是报CSRF错误?
我在后端设置了Cookie的SameSite为None并加上了Secure属性,但本地开发环境用HTTPS运行时,跨域请求还是被报CSRF错误。明明生产环境没问题,本地环境该怎么调试啊? 尝试过这样配...
- 2
回答
74浏览
为什么设置了max-age的Persistent Cookie没保存到下次访问?
我在登录接口里设置了带max-age=3600的Cookie,明明设置了持久化时间,但刷新页面后cookie就消失了。测试代码是这样的: res.cookie('token', token, { ma...
- 2
回答
23浏览
移动端设置HttpOnly和Secure后,JS为何仍能读取Cookie?
为什么移动端设置Cookie的HttpOnly; Secure属性后,JavaScript还能通过document.cookie读取到值?明明应该被阻止才对啊。 我确认服务器响应头有Set-Cooki...
- 2
回答
24浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
- 2
回答
77浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
真正防止 JS 读取的方法是加上 HttpOnly 属性。你现在只设了 Path、SameSite 和 Secure,漏了这个关键点。只要 Cookie 没有 HttpOnly,任何嵌入页面的脚本(包括广告联盟的 iframe 如果和主站同源)都能通过 document.cookie 拿到值。
检查一下是不是这些情况:
1. 广告 iframe 实际上是和你主站同源(比如都是一级域名下的不同子域),那本身就不是严格意义上的“第三方”,可以通过 domain 共享 cookie。
2. 没有设置 HttpOnly,导致 JS 可读。
3. 可能还存在主域共享的问题,比如 Set-Cookie 里没指定 Domain,浏览器默认允许子域继承。
正确的设置应该是:
注意 Domain 根据实际需要设,如果不想被子域共享就别加。更重要的是加上 HttpOnly,这样就算广告 iframe 能执行 JS,也拿不到 sessionID。
CSP 是另一层防护,可以限制 script 来源,但不能替代 HttpOnly 对 Cookie 的保护作用。这两个不冲突,建议都配。
总结:SameSite=Strict 防的是跨站请求自动带 Cookie,防不了同页面脚本读取。要防 JS 窃取,必须上 HttpOnly。
SameSite=Strict的理解上。这个属性确实会阻止跨站请求时自动附带Cookie,但它并不能阻止第三方通过其他方式(比如iframe嵌入)直接访问document.cookie。关键是:你现在的Cookie没有设置
HttpOnly属性,所以JavaScript才能直接读取到它。建议改成这样:加上
HttpOnly后,JavaScript就无法再通过document.cookie获取这个Cookie了。另外提醒一下,虽然设置了
SameSite=Strict,但如果用户浏览器版本较旧(比如一些老旧的IE),可能不会完全遵循这个规则。如果真的需要更严格的隔离,可以结合CSP策略限制iframe加载来源。不过从你的描述来看,目前主要问题就是缺了HttpOnly。