今天的干货长驱直入,直奔主题

看了前文的同学们应该都知道,搜狗、360等浏览器在单点登录中反复重定向,最终失败报错。

原因在于,非Chrome80+浏览器不识别Cookie上的SameSite=none属性值,导致认证Cookie在后续请求中被抛弃。

截至2020/3/30号,非Chrome浏览器测试包含两种结果:

  • case1:可设置cookie的samesite=none, 浏览器可读取该cookie
  • case2:对cookie设置samesite=none, 浏览器不能读取该cokie
浏览器 最新版本号 结果 备注
IE 11 case1 win10
Edge 44.18362.449.0 case1 2020/2/15开始使用chrome内核/70.0.3538.102
Firefox 74 case1
360急速浏览器 12.0.1190.0 case1 基于chromium78
搜狗浏览器 8.6.1.31812 case2 User-Agent: Chrome/65.0.3314.0
猎豹安全浏览器 6.5.115 case2 User-Agent:Chrome/57.0.2987.98
QQ浏览器 10.5.3 case1 chromium 70
华为手机浏览器 10.0.6.304 case1
魅族手机浏览器 8.5.1 case2

嗯,我之前报的360急速浏览器在新版已经更新了Chrome内核,作为主流的搜狗和猎豹浏览器还是使用旧版本Chrome内核,这是要闹哪样?

如果Web应用程序打算支持旧内核浏览器,则需要实现浏览器嗅探

ASP.NET Core不会帮你实现浏览器嗅探,因为User-Agents值易变且经常更改。

但是Microsoft.AspNetCore.CookiePolicy中的扩展点允许插入浏览器嗅探逻辑。

在Startup.Configure中,在调用UseAuthentication或任何写入cookie的方法之前添加调用UseCookiePolicy的代码

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)

{

    if (env.IsDevelopment())

    {

        app.UseDeveloperExceptionPage();

    }

    else

    {

        app.UseExceptionHandler("/Error");

        app.UseHsts();

    }

    app.UseHttpsRedirection();

    app.UseStaticFiles();

    app.UseRouting();

  // 表示ASP.NET Core 启动Cookie策略

    app.UseCookiePolicy();

    app.UseAuthentication();

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>

    {

        endpoints.MapRazorPages();

    });

}

在Startup.ConfigureServices, 添加Cookie的策略配置代码:

public void ConfigureServices(IServiceCollection services)

{

    services.Configure<CookiePolicyOptions>(options =>

    {

        options.MinimumSameSitePolicy = (SameSiteMode)(-1);

        options.OnAppendCookie = cookieContext =>

            CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);

        options.OnDeleteCookie = cookieContext =>

            CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);

    });

    services.AddRazorPages();

}

private void CheckSameSite(HttpContext httpContext, CookieOptions options)

{

    if (options.SameSite == SameSiteMode.None)

    {

        var userAgent = httpContext.Request.Headers["User-Agent"].ToString();

        if (MyUserAgentDetectionLib.DisallowsSameSiteNone(userAgent))

        {

            options.SameSite = SameSiteMode.Unspecified;

        }

    }

}

上面的例子中,MyUserAgentDetectionLib.DisallowsSameSiteNone 是一个自定义的库文件,侦测不支持SameSite=None的UserAgent。

ASP.NET Core3.1 对与SameSiteMode新增了一个 Unspecified枚举值,表示服务端不会对Cookie设置SameSite属性值, 后面的携带Cookie的事情交给浏览器默认配置。

具体的侦测代码如下:

public static bool DisallowsSameSiteNone(string userAgent)

{

    // Check if a null or empty string has been passed in, since this

    // will cause further interrogation of the useragent to fail.

     if (String.IsNullOrWhiteSpace(userAgent))

        return false;

    // Cover all iOS based browsers here. This includes:

    // - Safari on iOS 12 for iPhone, iPod Touch, iPad

    // - WkWebview on iOS 12 for iPhone, iPod Touch, iPad

    // - Chrome on iOS 12 for iPhone, iPod Touch, iPad

    // All of which are broken by SameSite=None, because they use the iOS networking

    // stack.

    if (userAgent.Contains("CPU iPhone OS 12") ||

        userAgent.Contains("iPad; CPU OS 12"))

    {

        return true;

    }

    // Cover Mac OS X based browsers that use the Mac OS networking stack.

    // This includes:

    // - Safari on Mac OS X.

    // This does not include:

    // - Chrome on Mac OS X

    // Because they do not use the Mac OS networking stack.

    if (userAgent.Contains("Macintosh; Intel Mac OS X 10_14") &&

        userAgent.Contains("Version/") && userAgent.Contains("Safari"))

    {

        return true;

    }

    // Cover Chrome 50-69, because some versions are broken by SameSite=None,

    // and none in this range require it.

    // Note: this covers some pre-Chromium Edge versions,

    // but pre-Chromium Edge does not require SameSite=None.

    if (userAgent.Contains("Chrome/5") || userAgent.Contains("Chrome/6"))

    {

        return true;

    }

    return false;

}

总结

本文实战演示在ASP.NET Core扩展点插入浏览器嗅探逻辑,解决设备不支持cookie SameSite=none的历史问题.

[ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问题的更多相关文章

  1. Asp.Net Core 2.0 项目实战(10) 基于cookie登录授权认证并实现前台会员、后台管理员同时登录

    1.登录的实现 登录功能实现起来有哪些常用的方式,大家首先想到的肯定是cookie或session或cookie+session,当然还有其他模式,今天主要探讨一下在Asp.net core 2.0下 ...

  2. IIS部署ASP.Net Core 502.5错误和解决

    在Win7的机器上部署ASP.Net Core程序,老是提示502.5错误. 已经安装了 Microsoft Visual C++ 2015 Redistributable .NET Core Win ...

  3. VisualStudio2017下ASP.NET CORE的TagHelper智能提示解决办法

    之前在VS2017RC中就发现该问题,安装了依赖,但是前段一直点不出来asp-for,后来查了发行说明, 才知道在VS2017rc中暂时无法解决,所以一直等到VS2017正式版的发布,急冲冲的装好, ...

  4. Angular 2的HTML5 pushState在ASP.NET Core上的解决思路

    Angular 2的HTML5 pushState在ASP.NET Core上的解决思路 正如Angular 2在Routing & Navigation中所提及的那样,Angular 2是推 ...

  5. ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击 (转载)

    什么是反伪造攻击? 跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互.这种攻击是完全有可能的 ...

  6. Asp.Net Core 2.0 项目实战(3)NCMVC角色权限管理前端UI预览及下载

    Asp.Net Core 2.0 项目实战(1) NCMVC开源下载了 Asp.Net Core 2.0 项目实战(2)NCMVC一个基于Net Core2.0搭建的角色权限管理开发框架 Asp.Ne ...

  7. asp.net core webapi之跨域(Cors)访问

    这里说的跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作 ...

  8. 在Linux上以服务的方式运行ASP.NET Core站点

    更新:用supervisor是更好的解决方法,详见 Linux下为 dotnet 创建守护进程 要在生成环境下在Linux服务器上跑ASP.NET Core站点,首先要解决的问题是以服务的方式运行AS ...

  9. ASP.NET Core:CMD命令行+记事本 创建Console程序和Web Application

    今天看了Scott关于ASP.NET Core的介绍视频,发现用命令行一步一步新建项目.添加Package.Restore.Build.Run 执行的实现方式,更让容易让我们了解.NET Core的运 ...

随机推荐

  1. curator配置及使用

    1.action.yml --- actions: 1: action: index_settings options: index_settings: index: routing.allocati ...

  2. JMeter-临界部分控制器

    前言 临界部分控制器根据锁名来控制并发,同一个锁名之下,在同一时间点只能存在一个运行中,适用于控制并发的场景 锁名类型: 锁名为空,认为每个锁为不同的锁 锁名相同,多个锁认为是同一个锁,同一个时间点只 ...

  3. in和exists比较

    in是把外表和内表作hash 连接,而exists 是对外表作loop 循环,每次loop 循环再对内表进行查询. 一直以来认为exists 比in 效率高的说法是不准确的.如果查询的两个表大小相当, ...

  4. java基础进阶篇(四)_HashMap------【java源码栈】

    目录 一.前言 二.特点和常见问题 二.接口定义 三.初始化构造函数 四.HashMap内部结构 五.HashMap的存储分析 六.HashMap的读取分析 七.常用方法 八.HashMap 的jav ...

  5. 快速上手百度大脑EasyDL专业版·物体检测模型(附代码)

    作者:才能我浪费991.    简介:1.1.    什么是EasyDL专业版EasyDL专业版是EasyDL在2019年10月下旬全新推出的针对AI初学者或者AI专业工程师的企业用户及开发者推出的A ...

  6. 并查集(不相交集)的Remove操作

    给并查集(不相交集)的添加一个\(Remove(X)\)操作,该操作把\(X\)从当前的集合中除去并把它放到自己的集合中. 实现思想 英文原句 We assume that the tree is i ...

  7. 为什么要使用webpack?

    在网页中会引用到哪些常见的静态资源? js (.js  .jsx  .coffee  .ts) css (.css  .less  .sass  .scss scss是sass的plus版) imag ...

  8. 轻量级MVC框架(自行开发)

    源码及demo: https://github.com/killallspree/myFrame/

  9. django 从零开始 制作一个图站 1环境的配置以及测试本地服务器

    先使用用virtualenv建立一个虚拟环境 使用pycharm 建立一个django项目 选择虚拟环境和建立一个应用app 其中 tuzhan是项目根目录 user是我们的项目app 中间一些项目文 ...

  10. 关于 服务器ip和域名进行一个绑定

    最近想让人访问我做个一个网站,但是我发现让服务器ip地址直接暴露不是很好 (做着玩) 于是就去阿里云买了一个5块1年的域名 先在网上百度了一下是怎么绑定域名的,发现全是含糊不清的信息,果然是垃圾百度 ...