为什么SameSite=Strict没阻止跨域请求带Cookie?
我在前端调用其他域名的API时,明明设置了SameSite=Strict和Secure,但浏览器还是自动带上Cookie了。后端用PHP设置的响应头是这样的:
header("Set-Cookie: auth_token=xxx; SameSite=Strict; Secure");
前端请求用的是原生fetch:
fetch('https://api.otherdomain.com/data', {
method: 'GET',
credentials: 'include'
})
跨域请求还是能带上Cookie,后端日志显示cookie值正常解析。难道SameSite=Strict不是应该阻止跨站请求携带吗?是不是还需要配合CORS头设置?
- 2
回答
31浏览
SameSite=Strict设置后,我的表单提交为什么会失败?
我在后端给登录Cookie设置了SameSite=Strict,但发现用JavaScript提交表单时,请求头里没有携带Cookie,导致认证失败。明明同源的请求啊,这是为什么? 之前用的是SameS...
- 2
回答
30浏览
SameSite=Lax设置后,跨域请求携带Cookie失效怎么办?
我在项目中设置了Cookie的SameSite=Lax和Secure属性,但跨域请求到第三方支付接口时,Cookie没有被携带,导致登录失效。后端返回的Set-Cookie头看起来没问题,前端请求也用...
- 2
回答
76浏览
第三方Cookie设置了SameSite=Strict为什么还是被跨站访问了?
我在电商网站项目里设置了SameSite=Strict和Secure属性,但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie,这是怎么回事? 尝试过在响应头这样配置: Set-Coo...
- 2
回答
35浏览
SameSite=None; Secure设置了,但跨域请求还是丢失Cookie怎么办?
我在开发一个单页应用时,给Cookie设置了SameSite=None; Secure,但跨域请求到后端API时Cookie还是没带上,这是为什么啊? 场景是这样的:前端用Vue跑在https://s...
- 2
回答
41浏览
SameSite=None; Secure设置后,为什么移动端浏览器还是无法获取Cookie?
最近在配置SameSite属性时遇到怪事,后端按文档设置了SameSite=None; Secure,PC端Chrome能正常获取到登录态的Cookie,但测试微信内置浏览器和安卓原生浏览器时,请求头...
- 1
回答
24浏览
SameSite=None; Secure设置后,为何本地开发环境还是报CSRF错误?
我在后端设置了Cookie的SameSite为None并加上了Secure属性,但本地开发环境用HTTPS运行时,跨域请求还是被报CSRF错误。明明生产环境没问题,本地环境该怎么调试啊? 尝试过这样配...
- 1
回答
45浏览
React Strict Mode为什么导致useEffect两次执行?代码没问题却报错
我在React组件里用Strict Mode包裹App时,发现useEffect里的API请求执行了两次,控制台还报错说useState未定义。但移除Strict Mode后就正常了,这是为什么? 比...
- 2
回答
23浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
- 2
回答
74浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 2
回答
67浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
你用的是原生 fetch,并且明确写了
credentials: 'include',这其实是一个主动要求携带 Cookie 的场景。SameSite=Strict 的设计初衷是用来防御 CSRF 攻击,它主要针对的是用户通过点击链接或表单提交等被动触发的跨站请求,而不是像 fetch 这种开发者显式控制的 API 调用。性能上来说,fetch 请求默认不会受到 SameSite 的限制,只要目标服务器允许跨域并且前端主动要求带上凭证(比如 Cookie),浏览器就会照做。所以这不是 SameSite 的问题,而是你误解了它的作用范围。
解决办法很简单:如果你真的想完全禁止跨域请求带 Cookie,后端需要调整 CORS 策略。具体来说,在 PHP 中,你可以这样设置响应头:
然后确保前端的 fetch 请求中
credentials: 'include'只在必要时使用。如果完全不想让跨域请求带 Cookie,直接去掉credentials: 'include'就行了。另外吐槽一句,SameSite 的行为确实容易让人混淆,尤其是文档里没仔细说明 fetch 的特殊情况。记得测试时多看看网络请求的实际行为,别光靠直觉判断。