在ASP.NET Core 3.1 Web应用程序中获得 "无法识别的SameSiteMode值-1 "InvalidOperationException
我正在进行一些测试,为即将推出的Chrome版本做准备,并更改了cookie的框架处理,但是我的Web应用程序正在带来麻烦.我可以通过以下方式复制它: 使用Visual Studio 2019(16.4.3)创建一个新项目. 选择" ASP.NET Core Web应用程序"并启用HTTPS. 添加一个"脚手架项目",并添加ASP.NET核心身份. 当询问时,使用sqlite: 时添加所有文件,并添加新的数据上下文和用户 添加services.AddRazorPages();启动 添加endpoints.MapRazorPages(); UseEndpoints配置lambda 将SameSiteCookiesServiceCollectionExtensions添加为services.Configure(options => { options.MinimumSameSitePolicy = (Microso
12 2024-04-22
编程技术问答社区
如何为4.7.2之前的.Net框架设置cookie属性Samesite = None(针对4.5.2)。
根据Google Chrome的最新更新,它仅允许具有属性的跨平台cookie sameSite=None 链接:根据上图,Microsoft不能为较低版本的此属性提供构建支持. . 因此,我们在服务器端创建cookie时无法将其设置. 有什么可能的方法可以使用samesite属性来创建cookie? 解决方案 更新: 假设您已安装了IIS的URL重写扩展2.0(Azure App Services, nee azure网站,已经安装了此)然后您应该查看 @sreenath的答案该解决方案应适用于大多数用户. 然而(在我的特权位置,从我的象牙塔内的巨型自负泡沫)没有任何借口来 尚未使用.NET框架4.7.2或之后,由于过去5年以上的.NET框架更新(Visual Studio 2013,2013年)在很大程度上是加性的,并且是向后兼容的. 因此,我强烈敦促开发人员(尝试)将其项目更新为.NET Framework 4.7.2或4.8首先在尝试使
42 2024-04-19
编程技术问答社区
jessessionId cookie的Samesite只能从响应中设置。
我试图设置samesite无;从Java过滤器中固定我的JSessionId cookie.我已经在响应集Cookie标头中添加了此内容.此更改后,请求cookie jsessionId相同.在响应中,jsessionId通过samesite属性无且安全.如果请求JSessionId cookie保持不变,它将起作用. 解决方案 呼叫ServletResponse方法:SendError,getWrite.flush(),sendredirect,getOutputStream.flush提交响应,这意味着状态代码和标题将在更新Set-Cookie Header之前写入. servletsponspons servletresponse . 解决方案1:您可以将过滤器放置在任何可能导致上述方法的过滤器之前,并在调用过滤器拨号之前修改标题.Dofilter 解决方案2:拦截响应提交响应之前对此方法进行更新标题. package com.cookie.exa
14 2024-04-03
编程技术问答社区
找到导致Chrome浏览器出现SameSite警告的cookie
众所周知,Chrome将在本月开始使用新的Samesite cookie策略( https:https:https:https:https://web.dev/samesite-cookies-explain/和 https:https://. 我们正在为应用程序使用Auth0,并且自去年年底以来就在Chrome的控制台上看到了此SameCookie警告: 现在,由于新策略的引入越来越近,我试图使用Chrome的开发人员工具中的应用程序视图找到有问题的cookie.这就是显示: 如您所见,没有任何cookie的条目 secure 或 samesize . 因此,我启用了新政策来查看会发生什么变化.这可以在chrome://flags 中完成 这些更改后,我在控制台上看到一条消息,告诉我cookie被阻止了. 但是Chrome开发人员工具中的应用程序视图显示与以前完全相同的cookie. 另外,我浏览了开发人员工具网络视图中的每个条目.任何条目都没有
20 2024-03-19
编程技术问答社区
使用auth0的localhost上的Samesite cookie错误
我正在使用Auth0在我的React应用中实现身份验证.我使用的是UseAuth0()挂钩,如下, const { isAuthenticated, isLoading } = useAuth0(); 我还使用 实现了登录 const { loginWithRedirect } = useAuth0(); . . . loginWithRedirect()} /> 按下按钮时,它将重定向到Auth0,并且可以登录.登录后,它将其重定向到该应用程序,并在没有任何问题的情况下显示在路线中的登录.但是,问题是当我在应用程序中进行任何更改时,它会重新加载,尽管我已登录,但我再次介绍了登录页面.在" Chrome问题"选项卡中,它显示了此消息. 我无法弄清楚为什么它不适用于刷新,而是为什么它在登录后重定向,而我从昨天开始一直在尝试找到解决方案,但到目前为止没有运气.我遇到了 解决方案 最终对我有用的是另一个问题. 这是
26 2024-03-19
编程技术问答社区
Chrome SameSite。身份服务器4(代码流) + Web API Core 3.1 + Angular 8
我们的应用程序如下: Identity.Web(Localhost:5555) - .NET CORE 3.1:它具有用于登录和密码重置的剃须刀页面.我们正在使用Identity Server 4(代码流-OAuth 2.0,OpenID). web.api(localhost:4500).NET CORE 3.1:基本上具有资源API Angular 8(Localhost:4200):使用Open-ID客户端来验证和访问资源API. 我们的应用程序在 Chrome Samesite更新之前之前,曾经有一个验证式返回,然后登录到仪表板. 您可以在我们的配置下找到: Identity.web(config.cs) var redirectUris = new List { frontendUrl + "/auth-callback", frontendUrl + "/silent-refresh.html" };
8 2024-03-12
编程技术问答社区
DOMException。从'Window'读取'localStorage'属性失败。在Chrome隐身模式下,在Iframe中运行
任何人都可以在此问题上帮助我,因为我仅在隐身模式下在一个单独的域中运行单独域的iframe时在网站上收到相同的错误消息?您可以从在这里.. 在非知识模式下没有问题. 没有iframe作为单个站点的iframe 没有问题 那些网站也没有使用localstorage的网站,即使在iframe内部或没有iframe内部运行 控制台中的错误 - " domexception:未能从'window'中读取'localstorage'属性:拒绝此文档的访问权限" 谢谢 解决方案 我遇到了这个问题,并确定这是因为我们应用程序的依赖性在尝试访问本地存储时会丢下错误.当该应用在隐身的iframe中运行时,访问本地存储会引发错误.如果依赖关系无法使用try/catch对本地存储的调用,则会崩溃. 可以通过禁用cookie/局部存储在勇敢的浏览器中复制相同的行为. 一个好的解决方案是将错误的库提交给该错误的错误(应该像将参考包装在try/catch中和忽略错误一
8 2024-03-11
编程技术问答社区
ASP.NET-Request.Cookies在Chrome V80+中不再工作了
在与Chromes Samesite cookie政策无疑相关的内容中,我现在在ASP.NET中遇到了更新cookie的问题. 我有一个简单的cookie集合来存储基本的用户设置. cookie既可以使用下面的代码生成和更新. 设置cookie If Response.Cookies("Settings") IsNot Nothing Then Dim cookie As HttpCookie = Request.Cookies("Settings") cookie("Setting01") = ddl.SelectedValue cookie.Expires = Date.Now.AddDays(365) Response.Cookies.Add(cookie) End If 首先创建了cookie时,它出现在下面. 当设置更新时,上面的代码第二次删除了值. 这仅发生在铬 我已经对Web.config进行了以下最新更改,以适应Same
14 2024-03-10
编程技术问答社区
SameSite=None w/ Secure Breaking iFrame in IE11
随着最近的变化,似乎萨梅特·饼干属性正在将扳手扔进我的网站.现在,我的网站上正在工作的跨浏览器iframe现在被打破了 - 即使是samesite = none;安全通过响应标头中的iframe. 我已经看到人们与人们说Windows 7不支持Samesite =无.其他人说安全性正在破坏或不打破它.但是,即使是当前的Microsoft文档也没有确切地列出Win7 IE11对Samesite = none的反应. 此时,我正在寻找任何可以提供帮助的人的提示或技巧.我已经完成了我能想到的一切.这在之前和现在突然阻止了iframe并丢弃了500个错误. Set-Cookie的顺序会引起这一点吗? 在一些浏览器测试中,我找到了以下内容: Windows 10 -IE11破碎,边缘破碎,边缘(Beta)作品 Windows 8.1 -IE11 作品,Edge(Beta) Works Windows 8 -IE11破碎,边缘(Beta)作品 Windows 7 -IE11
14 2024-03-10
编程技术问答社区
ASP.NET_SessionId的cookie值在SameSite中总是很松散。
我有一个ASP.NET Web应用程序,并且应用程序需要在另一个站点中的iframe中打开,即它应该支持跨站点cookie.我想设置 samesite = none;在Web应用程序中安全.我把 在web.config中,但是 samesite cookie asp.net_sessionid 始终是 lax .我在web.config中做正确的配置吗? 解决方案 web.config中的属性不会影响asp.net_sessionid cookie.设置属性: 其他解决方案 在 global.as
16 2024-03-10
编程技术问答社区
SameSite属性如何自动添加到我的Asp.net_SessionID cookie中?
最近samesite = lax自动添加到我的会话cookie! 此属性只需添加到SessionID: "Set-Cookie ASP.NET_SessionId=zana3mklplqwewhwvika2125; path=/; HttpOnly; **SameSite=Lax**" 我的网站托管在IIS 8.5,Windows 2012 R2上,没有WAF或Urlrewrite,我关闭了Antivirus(Kasper). 但是在某些客户服务器上也有同样的问题. 有什么想法吗? 编辑: 我发现这个: https://support.microsoft.com/en-us/help/4524419/kb4524419 ASP.NET现在将在httppookie.samesite值为"无"时发出Samesite cookie标头,以适应Chrome中的Samesite cookie处理的即将发生的更改.作为此更改的一部分,FormsAuth和SessionS
22 2024-03-07
编程技术问答社区
如何使用Apache配置来设置SameSite cookie属性?
我无法在"应用程序"选项卡中使用内置开发人员工具看到Samesite =严格. 我在Apache配置中添加了下面的标头代码 Header always edit Set-Cookie (.*) "$1;SameSite=Strict" Header edit Set-Cookie ^(.*)$ $1;SameSite=Strict 请让我知道如何设置samesite =严格使用上述设置. 解决方案 for apache2> = 2.2.4 Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=Strict apache2低于2.2.4 Header set Set-Cookie HttpOnly;Secure;SameSite=Strict 其他解决方案 在我的本地环境中(Apache 2.4)启用mod_headers后,我能够通过在我的VHOST中添加下面的指令来实现这一目标:
68 2024-02-27
编程技术问答社区
如何在WildFly 20上设置同站cookie?
我需要将同一站点cookie属性设置为严格对Wildfly20服务器响应.我需要通过服务器配置进行.任何帮助?? 解决方案 JMART的答案是正确的,但需要在您的Web应用程序(undertow-handlers.conf)中添加文件.使用Wildfly 19.1( wfly-13003 )及以上您可以在Wildfly的上配置此功能C1>如下: ...
20 2023-12-04
编程技术问答社区
cakePHP为SameSite Attribute设置了Cookies。但我无法在代码中找到它/追踪它。
我仍在成为开发人员.首先,我无法显示与此问题有关的任何代码,因为我不允许这样做... 使用Chrome(和其他)的新cookie策略,必须将SameSite属性设置为无. 我的问题是,我找不到设置cookie的任何代码.它来自服务器.我搜索了我目前在的公司的GIT存储库. 我搜索了Internet以获取所有可能的解决方案.问题是找到合适的位置. 所述cookie来自另一个网站,我无法追踪. 解决方案 蛋糕3.5.8 在您的config/app.php中 'Session' => [ 'ini' => [ 'session.cookie_samesite' => 'None', 'session.cookie_secure' => true ] ], 其他解决方案 我正在使用Cakephp 1.3.我需要在前端的后端cookie,该饼干不是相同的域.与其他解决方案无效,我使用我的代
16 2023-10-25
编程技术问答社区
如何在 Tomcat 的 Cookie 处理器中设置 SameSite Cookie?
tomcat的context.xml定义CookieProcessor (默认LegacyCookieProcessor). 我正在尝试添加cookie处理器上显示的属性,但是似乎无法正常工作 我看不到设置sameSite属性的tomcat的响应标题cookie. 解决方案 在您的Web应用程序中,在Meta-Inf文件夹中创建一个内部的context.xml文件. 如果您已经有context.xml文件,则只需添加cookieprocessor元素. 由于需要将属性设置为"无". 2019年5月20
198 2023-10-24
编程技术问答社区
Spring Security中的会话cookie的同一站点标志
是否可以设置,如果没有,请在路线图上增加支持吗?某些浏览器(即Chrome)已经有支持. 解决方案 通过TomcatContextCustomizer支持samesite cookie.因此,您只能自定义tomcat cookieprocessor,例如对于春季靴子: @Configuration public class MvcConfiguration implements WebMvcConfigurer { @Bean public TomcatContextCustomizer sameSiteCookiesConfig() { return context -> { final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor(); cookieProcessor.setSameSiteCookie
32 2023-09-14
编程技术问答社区
如何在Spring Boot中设置同站cookie标志?
是否有可能设置 same-site cookie 弹簧靴中的标志? 我在Chrome中的问题: http://google.com/SameSite属性的情况下设置. Chrome的未来版本 仅在设置的饼干中提供cookie 使用SameSite=None和Secure.您可以在开发人员中查看cookie 应用程序下的工具>存储> cookie,并查看更多详细信息 如何解决这个问题呢? 解决方案 春季靴2.6.0 Spring Boot 2.6.0现在支持Samesite cookie属性的配置: 通过属性配置 server.servlet.session.cookie.same-site=strict 通过代码配置 import org.springframework.boot.web.servlet.server.CookieSameSiteSupplier; import org.springframework.context.anno
26 2023-09-12
编程技术问答社区
如何为JSESSIONID cookie设置SameSite和Secure属性
我有一个Spring Boot Web应用程序(Spring Boot版本2.0.3.Release),并在Apache Tomcat 8.5.5服务器中运行. 通过Google Chrome强加的最新安全策略(自80.0起推出),请求应用新的SameSite属性以更安全的方式而不是CSRF来使跨站点cookie访问.由于我对第一方饼干的默认值SameSite=Lax设置了默认值,因此我的第三方服务集成失败了,因为chrome限制了当如果第三方响应来自POST请求(o nce,该过程将第三方服务重定向到我们的网站,并使用POST请求).在那里,Tomcat无法找到会议,因此它在URL结束时附加了一个新的JSESSIONID(有新的会议和上一个会话被杀死).因此,Spring拒绝了URL,因为它包含一个新的JSESSIONID附录引入的分号. 因此,我需要更改JSESSIONID cookie属性(SameSite=None; Secure),并以多种方式尝试了它.我在stac
74 2023-09-12
编程技术问答社区
仅使用SameSite Lax cookies进行SSO的可行性?
背景 我今天在玩SameSite的方面.我已经有HttpOnly和Secure,所以我认为这可能没什么大不了的. 为什么打破 好吧,事实证明,一旦我实施了设置,很多事情就会破裂.这是在SameSite=Lax和SameSite=Strict上都发生的.我进行了一些研究,发现这是由于SSO很容易使用Lax或Strict的框网站破裂(而不是None): samesite cookie属性:它是什么以及为什么重要 site compatibility-compatibility-compatibility-mightible-Impacting变化边缘 在单sign-on中冒险:samesite doomsday samesite cookies解释了 我的主要浏览器(Iron 70)基于Chromium 70,因此我从未遇到过的更改,该更改在2月份向Chrome 80用户推出,据说该更改据说没有SameSite值SameSite值Lax.我安装了最新的Go
12 2023-09-04
编程技术问答社区