Chrome 扩展程序中的 SameSite 警告

关键词：

【中文标题】Chrome 扩展程序中的 SameSite 警告【英文标题】：SameSite warning in Chrome Extensions 【发布时间】：2020-04-23 05:48:45 【问题描述】：

我们正在开发 Chrome 扩展程序

从没有设置 SameSite 属性的域中读取 cookie 将 cookie 写入没有 SameSite 属性的域

我们在 manifest.json

中添加了对两个域的权限

我们在 Chrome 浏览器中启用了以下标志，

SameSite 默认 cookie 启用删除 SameSite=None cookie 没有 SameSite 的 Cookie 必须是安全的

问题

即使在启用标志之后，我们也能够从其他域读取使用以下值设置的 cookie。这是预期的吗？如果是，为什么？

没有SameSite属性 与 SameSite=strict

假设一个扩展在域 X.com 的站点中设置了没有 SameSite 属性的 cookie。当网站 (X.com) 出现时会发生什么

通过 iframe 被另一个扩展程序使用 由域为 Y.com 的另一个站点通过 iframe 使用。 在这两种情况下，cookie 会与响应一起呈现吗？？

来自扩展的请求是否被视为跨站点请求？

域中的扩展设置的 cookie 的行为如何？这是否类似于来自不同域的网站设置 cookie 时发生的情况？？

对 manifest.json 中的域具有权限的扩展是否能够从其他域读取 cookie，而与 SameSite 值无关？？

【问题讨论】：

好问题，我也在研究这个问题，但还不清楚。我今天遇到了这个可能会有所帮助：***.com/a/58706403/6089612 感谢您的回复。该线程似乎正在讨论旧版本中所做的更改。我想知道 Chrome 版本 80 将发布的 SameSite 更改如何影响扩展。 即将发生的变化是没有 SameSite 的 cookie 将默认为 SameSite=Lax。根据该问题/答案，Chrome 78 及更高版本将发送 SameSite=Lax cookie。我认为这就是您 Q1 的答案。 是的，扩展似乎受制于有关 SameSite cookie 的特殊规则。参考groups.google.com/a/chromium.org/forum/m/#!msg/blink-dev/… 【参考方案1】：

你好，我很确定这不会起作用，因为 chrome 扩展在 cookie 存储之外运行的方式。它将无法读取/写入这些值..

【讨论】：

感谢您的回复。你能详细说明一下吗？启用这些标志后，我们能够从扩展中读取没有设置 SameSite 值的 cookie。它在没有任何警告的情况下工作。如果您能告诉我们更多有关您所谈论的行为的信息，将会很有帮助。 我不是 100% 清楚您的用例——您应该解释业务流程或产品，或者用户从流程中得到什么。您所描述的扩展程序也可用于构建一个做不正当事情的广告欺诈扩展程序，因此澄清这一点很重要。 Google 有一个支持文档@@developer.chrome.com/extensions/xhr 对此进行了说明，并标记了如何安全地执行此操作以及一些潜在问题。基本上，有些事情“可以完成”，但并不安全，最终会从扩展商店中删除。很高兴尝试澄清或提供详细信息，祝你好运。 我们有一些扩展，可以从其他域中读取少量未设置 SameSite 属性的 cookie。它还设置了一些没有 SameSite cookie 的 cookie。我想知道将从版本 80 发布的与 SameSite 相关的更改如何影响扩展的行为。此外，我们通过 iframe 加载网站。从版本 80 开始，这些 cookie 会在浏览器中呈现吗？？

Chrome 控制台 SameSite Cookie 属性警告

】Chrome控制台SameSiteCookie属性警告【英文标题】：ChromeConsoleSameSiteCookieAttributeWarning【发布时间】：2020-02-0107:30:06【问题描述】：还有其他人收到此Chrome控制台警告吗？设置了与跨站点资源关联的cookie没有SameSite属性。Chrome的未来... 查看详情

如何修复“将 SameSite cookie 设置为无”警告？

】如何修复“将SameSitecookie设置为无”警告？【英文标题】：Howtofix"setSameSitecookietonone"warning?【发布时间】：2020-01-3104:04:10【问题描述】：我创建了一个chrome扩展，并从popup.js我调用了读取cookie的PHP脚本（使用Xhttprequest）... 查看详情

如何解决来自 Google Chrome 的此警告？ Cookie... `SameSite=None` 但没有 `Secure`

】如何解决来自GoogleChrome的此警告？Cookie...`SameSite=None`但没有`Secure`【英文标题】：HowcanIfixthiswarningfromGoogleChrome?Cookie...`SameSite=None`butwithout`Secure`【发布时间】：2020-02-0204:33:07【问题描述】：这段代码this.afAuth.auth.signInWithPopup(newau 查看详情

为 Chrome 77 上的 google recaptcha v2 警告尝试 SameSite 属性修复似乎对我不起作用？

】为Chrome77上的googlerecaptchav2警告尝试SameSite属性修复似乎对我不起作用？【英文标题】：TryingtheSameSiteattributefixforthegooglerecaptchav2warningonChrome77doesn\'tseemtobeworkingforme?【发布时间】：2020-02-0805:32:52【问题描述】：如果我要重复这个... 查看详情

QtWebengine Cookie SameSite=无警告

】QtWebengineCookieSameSite=无警告【英文标题】：QtWebengineCookieSameSite=Nonewarning【发布时间】：2020-08-1006:25:47【问题描述】：我在QML中的QtWebEngine调用中不断收到以下警告。我该如何解决这个问题？js:Acookieassociatedwitharesourceat<URL>was... 查看详情

chrome尝试安装.crx出现警告(加载已解压扩展程序)

因为Chrome的网上商店在国内使用中众所周知的问题，为了在Chrome上安装印象笔记扩展，我找到地方下载extiension_6_12.crx后，进行扩展安装时，出现了以下问题尝试安装此扩展程序时出现以下警告：_metadataisareserveddirectorythatwillnotbeal... 查看详情

SameSite cookie 被阻止

】SameSitecookie被阻止【英文标题】：SameSitecookiebeingblocked【发布时间】：2020-12-0917:15:55【问题描述】：快速概览：我在domain1打开我的网站。在页面内，我加载了一个带有urlhttp://domain2/...的iframe我不断在chrome上收到此警告，它影响... 查看详情

Java 应用程序中的 SameSite cookie

】Java应用程序中的SameSitecookie【英文标题】：SameSitecookieinJavaapplication【发布时间】：2017-07-3117:29:39【问题描述】：您知道任何允许为cookie设置自定义标志的Javacookie实现，例如SameSite=strict？似乎javax.servlet.http.Cookie有一组严格限制... 查看详情

即使设置了 sameSite:'none' 和 secure: true 对于 MERN 堆栈 Web 应用程序，Cookie 也不会保存在 chrome 中

】即使设置了sameSite:\\\'none\\\'和secure:true对于MERN堆栈Web应用程序，Cookie也不会保存在chrome中【英文标题】：CookieisnotgetsavedinchromeevenaftersettingsameSite:\'none\'andsecure:trueforaMERNstackwebapp即使设置了sameSite:\'none\'和secure:true对于MERN堆栈Web... 查看详情

Chrome扩展程序中的无Chrome窗口？

】Chrome扩展程序中的无Chrome窗口？【英文标题】：ChromelesswindowinChromeextension?【发布时间】：2013-08-1720:10:07【问题描述】：所以最近我在Chrome网上应用店中遇到了一个名为TypeFu的Web应用程序。让我吃惊的是他们居然创造了一个真... 查看详情

使用 SameSite 和 Secure 属性设置 Google Tag Manager cookie

】使用SameSite和Secure属性设置GoogleTagManagercookie【英文标题】：SettingGoogleTagManagercookieswithSameSiteandSecureattributes【发布时间】：2020-02-0903:57:44【问题描述】：Chrome报告以下警告：在没有SameSite属性的情况下设置了与https://www.googletagman... 查看详情

对 SameSite 更改与 Chrome 的混淆

】对SameSite更改与Chrome的混淆【英文标题】：ConfusionregardingSameSitechangeswithChrome【发布时间】：2020-07-0105:36:55【问题描述】：我需要一些帮助来理解我发现的描述Chrome的新SameSite限制的材料中没有描述的案例。目前，我有一个托管... 查看详情

Chrome 扩展程序中的上下文菜单

】Chrome扩展程序中的上下文菜单【英文标题】：ContextmenusinChromeextensions【发布时间】：2012-11-2620:04:18【问题描述】：我已经搜索并搜索了此问题的解决方案，但我遇到的每个来源似乎都假设我已经对Chrome扩展程序有深入的了解，... 查看详情

Chrome 扩展程序中的 SWF 对象 - API 不可用

】Chrome扩展程序中的SWF对象-API不可用【英文标题】：SWFobjectinaChromeExtension-APIUnavaiable【发布时间】：2011-11-0814:52:04【问题描述】：嗨！我正在构建一个Chrome扩展程序，我需要在后台页面中嵌入一个SWF对象。除了SWFobject和eventListene... 查看详情

chrome80以上版本，跨域cookie的samesite问题(代码片段)

场景：某项目A中的一个模块，引用了另一独立项目B的某个模块，采用的方式是iframe，一直是正常运行的，直到某一天，出现了一台访问B模块会报错的chrome浏览器，经排查报错的浏览器为chrome80+版本... 查看详情

检查请求是不是是 Chrome 扩展程序中的子资源完整性

】检查请求是不是是Chrome扩展程序中的子资源完整性【英文标题】：CheckifarequestisasubresourceintegrityinaChromeextension检查请求是否是Chrome扩展程序中的子资源完整性【发布时间】：2017-08-1322:02:39【问题描述】：是否可以通过Chrome扩展... 查看详情

Chrome 中的百分比行轨道和排水沟警告

】Chrome中的百分比行轨道和排水沟警告【英文标题】：PercentagesrowtracksandgutterswarninginChrome【发布时间】：2019-08-0803:05:31【问题描述】：我的CSS中有一行声明：grid-template-rows:20%80%;当我在chrome中运行应用程序时，我会在控制台中收... 查看详情

最新的 Chrome 85 使用 SameSite=None 和安全删除 3rd 方 cookie

】最新的Chrome85使用SameSite=None和安全删除3rd方cookie【英文标题】：NewestChrome85removing3rdpartycookiewithSameSite=Noneandsecure【发布时间】：2020-12-1613:42:58【问题描述】：最新版本的Chrome(85.0.4183.83)正在删除我的第3方cookie，尽管它们设置为S... 查看详情