为什么没有SameSite属性的cookie会通过跨域表单post发送?
我有一个关于https://dskl.net/xsrf/setcookies.php的页面,它设置了一个带有以下标题的cookie:
set-cookie: secure-cookie=secure; expires=Mon, 24-Jul-2023 11:27:06 GMT;最大年龄= 31536000;路径=/;domain=dskl.net;安全;仅
如果我进入此页面,将显示cookie的值:https://dskl.net/xsrf/getcookies.php.
但是如果我从另一个域上的表单向该页面发出post请求,cookie也会包含在请求中:https://manabase.com/xsrf/
没有SameSite属性的cookie不应该被视为SameSite=Lax并且不应该将cookie包含在跨域表单帖子中吗?
奇怪的是,如果我晚一点发布表单,则不包括cookie。但如果我删除cookie并重试,它会再次工作。这里可能发生了什么?
共有1个答案
这听起来像是“放松后”干预,见这里。这是为了在SAML登录流期间支持RelayState Cookie,即使在没有SameSite属性的情况下,也不例外。请参见SSO中使用的RelayState参数(例如SAML)?。
-
在Chrome警告中,它说: 如果cookie应在跨站点请求中发送,请指定SameSite=None和Secure。这允许第三方使用。 如何使用正确执行此操作?
-
本文向大家介绍为什么会有跨域问题?怎么解决跨域?相关面试题,主要包含被问及为什么会有跨域问题?怎么解决跨域?时的应答技巧和注意事项,需要的朋友参考一下 为啥会有跨域问题 怎么解决跨域呢? 方案一 JSONP:通过script可以跨域的原理,执行服务端的回调函数 方案二 代理:nigix 或者webpack 代理 配置 方案三 CORS :"跨域资源共享",设置'Access-Control-All
-
问题内容: 似乎已经在stackoverflow上讨论过类似的内容,但是我找不到完全一样的东西。 我正在尝试发送带有CORS(跨源资源共享)的Cookie,但无法正常工作。 这是我的代码。 我在请求HEADER中看不到此Cookie。 问题答案: 您无法通过JavaScript在CORS请求上设置或读取Cookie。尽管CORS允许跨域请求,但cookie仍然受浏览器的同源策略约束,这意味着只有来
-
问题内容: 如何通过JavaScript发送跨域POST请求? 注意-它不应该刷新页面,之后我需要抓取并解析响应。 问题答案: 如果你控制要发布的服务器,只需在服务器上设置响应头即可利用“跨域资源共享标准”。此答案在该主题的其他答案中进行了讨论,但我认为不是很清楚。 简而言之,这里是如何完成从from.com/1.html到to.com/postHere.php的跨域POST(以PHP为例)。注意
-
问题内容: 我已经看过有关该主题的文章和帖子(包括SO),并且普遍的评论是,同源策略阻止跨域的POST形式。我见过有人建议将同源政策不适用于表单帖子的唯一位置是此处 我想从更“官方”或正式的来源获得答案。例如,是否有人知道解决同源性如何影响表单POST的RFC? 澄清 :我不是问是否可以构造GET或POST并将其发送到任何域。我在问: 如果Chrome,IE或Firefox允许域“ Y”中的内容将
-
我已经看到了关于这个主题的所有文章和帖子(包括这样),普遍的评论是同源策略阻止了跨域的表单帖子。我唯一看到有人建议同源政策不适用于表格帖子的地方是这里。 我想从一个更“官方”或正式的来源得到答案。例如,有人知道解决同源如何影响或不影响表单张贴的RFC吗? 澄清:我不是问一个GET或POST是否可以被构造并发送到任何域。我在问: 如果Chrome、IE或Firefox允许来自域“Y”的内容向域“X”