今天的干货长驱直入,直奔主题

看了前文的同学们应该都知道,搜狗、360等浏览器在单点登录中反复重定向,最终失败报错。

原因在于,非Chrome80+浏览器不识别Cookie上的SameSite=none属性值,导致认证Cookie在后续请求中被抛弃。

截至2020/3/30号,非Chrome浏览器测试包含两种结果:

  • case1:可设置cookie的samesite=none, 浏览器可读取该cookie
  • case2:对cookie设置samesite=none, 浏览器不能读取该cokie
浏览器 最新版本号 结果 备注
IE 11 case1 win10
Edge 44.18362.449.0 case1 2020/2/15开始使用chrome内核/70.0.3538.102
Firefox 74 case1
360急速浏览器 12.0.1190.0 case1 基于chromium78
搜狗浏览器 8.6.1.31812 case2 User-Agent: Chrome/65.0.3314.0
猎豹安全浏览器 6.5.115 case2 User-Agent:Chrome/57.0.2987.98
QQ浏览器 10.5.3 case1 chromium 70
华为手机浏览器 10.0.6.304 case1
魅族手机浏览器 8.5.1 case2

嗯,我之前报的360急速浏览器在新版已经更新了Chrome内核,作为主流的搜狗和猎豹浏览器还是使用旧版本Chrome内核,这是要闹哪样?

如果Web应用程序打算支持旧内核浏览器,则需要实现浏览器嗅探

ASP.NET Core不会帮你实现浏览器嗅探,因为User-Agents值易变且经常更改。

但是Microsoft.AspNetCore.CookiePolicy中的扩展点允许插入浏览器嗅探逻辑。

在Startup.Configure中,在调用UseAuthentication或任何写入cookie的方法之前添加调用UseCookiePolicy的代码

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)

{

    if (env.IsDevelopment())

    {

        app.UseDeveloperExceptionPage();

    }

    else

    {

        app.UseExceptionHandler("/Error");

        app.UseHsts();

    }

    app.UseHttpsRedirection();

    app.UseStaticFiles();

    app.UseRouting();

  // 表示ASP.NET Core 启动Cookie策略

    app.UseCookiePolicy();

    app.UseAuthentication();

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>

    {

        endpoints.MapRazorPages();

    });

}

在Startup.ConfigureServices, 添加Cookie的策略配置代码:

public void ConfigureServices(IServiceCollection services)

{

    services.Configure<CookiePolicyOptions>(options =>

    {

        options.MinimumSameSitePolicy = (SameSiteMode)(-1);

        options.OnAppendCookie = cookieContext =>

            CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);

        options.OnDeleteCookie = cookieContext =>

            CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);

    });

    services.AddRazorPages();

}

private void CheckSameSite(HttpContext httpContext, CookieOptions options)

{

    if (options.SameSite == SameSiteMode.None)

    {

        var userAgent = httpContext.Request.Headers["User-Agent"].ToString();

        if (MyUserAgentDetectionLib.DisallowsSameSiteNone(userAgent))

        {

            options.SameSite = SameSiteMode.Unspecified;

        }

    }

}

上面的例子中,MyUserAgentDetectionLib.DisallowsSameSiteNone 是一个自定义的库文件,侦测不支持SameSite=None的UserAgent。

ASP.NET Core3.1 对与SameSiteMode新增了一个 Unspecified枚举值,表示服务端不会对Cookie设置SameSite属性值, 后面的携带Cookie的事情交给浏览器默认配置。

具体的侦测代码如下:

public static bool DisallowsSameSiteNone(string userAgent)

{

    // Check if a null or empty string has been passed in, since this

    // will cause further interrogation of the useragent to fail.

     if (String.IsNullOrWhiteSpace(userAgent))

        return false;

    // Cover all iOS based browsers here. This includes:

    // - Safari on iOS 12 for iPhone, iPod Touch, iPad

    // - WkWebview on iOS 12 for iPhone, iPod Touch, iPad

    // - Chrome on iOS 12 for iPhone, iPod Touch, iPad

    // All of which are broken by SameSite=None, because they use the iOS networking

    // stack.

    if (userAgent.Contains("CPU iPhone OS 12") ||

        userAgent.Contains("iPad; CPU OS 12"))

    {

        return true;

    }

    // Cover Mac OS X based browsers that use the Mac OS networking stack.

    // This includes:

    // - Safari on Mac OS X.

    // This does not include:

    // - Chrome on Mac OS X

    // Because they do not use the Mac OS networking stack.

    if (userAgent.Contains("Macintosh; Intel Mac OS X 10_14") &&

        userAgent.Contains("Version/") && userAgent.Contains("Safari"))

    {

        return true;

    }

    // Cover Chrome 50-69, because some versions are broken by SameSite=None,

    // and none in this range require it.

    // Note: this covers some pre-Chromium Edge versions,

    // but pre-Chromium Edge does not require SameSite=None.

    if (userAgent.Contains("Chrome/5") || userAgent.Contains("Chrome/6"))

    {

        return true;

    }

    return false;

}

总结

本文实战演示在ASP.NET Core扩展点插入浏览器嗅探逻辑,解决设备不支持cookie SameSite=none的历史问题.

[ASP.NET Core 3.1]浏览器嗅探解决部分浏览器丢失Cookie问题的更多相关文章

  1. Asp.Net Core 2.0 项目实战(10) 基于cookie登录授权认证并实现前台会员、后台管理员同时登录

    1.登录的实现 登录功能实现起来有哪些常用的方式,大家首先想到的肯定是cookie或session或cookie+session,当然还有其他模式,今天主要探讨一下在Asp.net core 2.0下 ...

  2. IIS部署ASP.Net Core 502.5错误和解决

    在Win7的机器上部署ASP.Net Core程序,老是提示502.5错误. 已经安装了 Microsoft Visual C++ 2015 Redistributable .NET Core Win ...

  3. VisualStudio2017下ASP.NET CORE的TagHelper智能提示解决办法

    之前在VS2017RC中就发现该问题,安装了依赖,但是前段一直点不出来asp-for,后来查了发行说明, 才知道在VS2017rc中暂时无法解决,所以一直等到VS2017正式版的发布,急冲冲的装好, ...

  4. Angular 2的HTML5 pushState在ASP.NET Core上的解决思路

    Angular 2的HTML5 pushState在ASP.NET Core上的解决思路 正如Angular 2在Routing & Navigation中所提及的那样,Angular 2是推 ...

  5. ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击 (转载)

    什么是反伪造攻击? 跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互.这种攻击是完全有可能的 ...

  6. Asp.Net Core 2.0 项目实战(3)NCMVC角色权限管理前端UI预览及下载

    Asp.Net Core 2.0 项目实战(1) NCMVC开源下载了 Asp.Net Core 2.0 项目实战(2)NCMVC一个基于Net Core2.0搭建的角色权限管理开发框架 Asp.Ne ...

  7. asp.net core webapi之跨域(Cors)访问

    这里说的跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作 ...

  8. 在Linux上以服务的方式运行ASP.NET Core站点

    更新:用supervisor是更好的解决方法,详见 Linux下为 dotnet 创建守护进程 要在生成环境下在Linux服务器上跑ASP.NET Core站点,首先要解决的问题是以服务的方式运行AS ...

  9. ASP.NET Core:CMD命令行+记事本 创建Console程序和Web Application

    今天看了Scott关于ASP.NET Core的介绍视频,发现用命令行一步一步新建项目.添加Package.Restore.Build.Run 执行的实现方式,更让容易让我们了解.NET Core的运 ...

随机推荐

  1. Docker Container开机自动启动

    重启策略: 使用在Docker run的时候使用--restart参数来设置. no - Container不重启 on-failure - container推出状态非0时重启 always - 始 ...

  2. 添砖加瓦:Linux系统监测

    前言 前段时间因为项目需求,需要实时获取系统当前的运行状态,遂查阅了不少资料,基于/proc目录下的部分文件,实现了系统CPU.内存.网络和磁盘的实时监测. 一.CPU使用情况获取 获取CPU使用情况 ...

  3. 让百度和google收录我们的网站

    花了几天时间终于把这个看似高大上的博客搞好了,但是发现只能通过在地址栏输入地址进行访问,这很明显和我装X装到底的性格,于是乎在查阅了嘟爷的博客,和我各种百度终于搞出来了. 让谷歌收录 让谷歌收录还是比 ...

  4. iMX287A嵌入式Qt环境搭建

    目录 1.嵌入式Qt简介 2.查看开发板Qt库的版本 3.第一个嵌入式Qt程序--Hello World 4.Linux桌面版本Qt环境的搭建 5.注意 @ 1.嵌入式Qt简介 Qt 是一个跨平台的应 ...

  5. Flex布局做出自适应页面--语法和案例

    本文发布在: github项目地址:https://github.com/tenadolanter/flex-layout-demo SegmentFault地址:https://segmentfau ...

  6. 探索 Redux4.0 版本迭代 论基础谈展望(对比 React context)

    Redux 在几天前(2018.04.18)发布了新版本,6 commits 被合入 master.从诞生起,到如今 4.0 版本,Redux 保持了使用层面的平滑过渡.同时前不久, React 也从 ...

  7. DNA sequence HDU - 1560

    DNA sequence Time Limit: 15000/5000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Tot ...

  8. step(iter)、epoch、batch size之间的关系

    转自:https://blog.csdn.net/wcy23580/article/details/90082221

  9. vue 带参数的跳转-完成一个功能之后 之后需要深思,否则还会忘记

    我要写详细点,否则下次很容易忘记 写了一个页面,这个页面里面添加了 很多a 标签,跳转都是同一个页面,内容不一样,方法 首先 路由 设定好 routes:[ { path:'/aaa', name:' ...

  10. Core + Vue 后台管理基础框架3——后端授权

    1.前言 但凡业务系统,授权是绕不开的一环.见过太多只在前端做菜单及按钮显隐控制,但后端裸奔的,觉着前端看不到,系统就安全,掩耳盗铃也好,自欺欺人也罢,这里不做评论.在.NET CORE中,也见过不少 ...