David.Zhong 发表于 2021-8-31 15:58:46

活字格7.0 update1新功能解密:六十,安全性提升-支持设置Cookie的SameSite属性

本帖最后由 David.Zhong 于 2022-6-27 18:22 编辑

各位看官老爷们大家好鸭~
今天给大家介绍一个实用的小功能------支持设置Cookie的SameSite属性~


关于SameSite是什么,大佬们可以看看阮一峰大佬的博客:
Cookie 的 SameSite 属性 - 阮一峰的网络日志 (ruanyifeng.com)

自 Chrome 80+ 起,未指定值的 cookie 属性“SameSite”将被视为“SameSite=Lax”,这将导致以下问题:
比如发布一个网站A,主机为“https://www.a.com”,使用不同的主机“https://www.b.com”发布网站 B,
如果A通过<iframe>嵌入B中,则B网站无法登录成功。
因为Forguncy在服务端没有明确指定“SameSite=None”,所以SameSite会是Lax,不能在浏览器端写入用户cookie。
这就导致应用无法登陆啦~


不过现在,我们可以手动设置SameSite=None了,
首先,打开路径C:\Users\Public\Documents\ForguncyServer下的GlobalConfig.xml文件,
通过AppName找到你需要设置SameSite属性为none的应用,把该应用下的EnableSameSite属性设置为true,然后重启服务器,
这样,该应用的SameSite属性就设置为none了。


听不懂没关系,大佬们只需要记住,如果你需要在第三方应用中,通过iframe嵌入活字格应用,
就需要在GlobalConfig中把该应用的EnableSameSite设置为true~
切记:同时需要第三方网站和活字格应用都是https的哈~


页: [1]
查看完整版本: 活字格7.0 update1新功能解密:六十,安全性提升-支持设置Cookie的SameSite属性