临近年关,修复ASP.NETCore因浏览器内核版本引发的单点登录故障
临近年关,咨询师提出360、搜狗急速浏览器无法单点登录到公司核心产品WD: 重定向过多。
现象
经过测试, 出现单点登陆故障的是搜狗、360等双核浏览器(默认使用Chrome内核), 较新式的Edge、Chrome、Firefox均未出现此障碍。
Developer tool监测不到原始的SSO请求,互联网上同类型问题不少,答案却惨不忍睹,味同嚼蜡,人云亦云。年末不能晚节不保,决心啃下硬骨头.
拿出网络分析利器Fiddler
循环重定向?
显示单点登录从website1?ticket =XXOO重定向回首页website.com,确实发生了循环重定向,搜狗浏览器有重定向次数限制,最终返回浏览器定制的404 页面。
结合之前手撕公司单点登录原理:
探究站点发生循环重定向的原因:
自⑥ website1向浏览器写入Cookie for website1,重定向请求站点主页website1.com⑦的时候,丢失Cookie for website1,导致website1认为用户未登陆,被迫重定向请求sso-website.com?service=http://website1.com②重新认证;
而sso-website.com站点检测到存在Cookie for sso(该用户已经认证),又开始走④⑤⑥⑦步骤,在第⑦步依旧未携带Cookie for website1,又再次重定向请求sso-website.com?service=http://website1.com②,循环往复。
定位问题
熟稔web开发的都知道 Cookie for website1 会在请求 website1.com时自然携带
Set-Cookie: X-Gridsum-FullTicketId=TGT-178876-em4uf0faD1c4pbt*********k5Z0vN4uPOoEBWfGIP6l-x-gridsumdissector; path=/; samesite=none; httponly故障关键在单点登录最后一步重定向,竟然未携带Cookie for website1
截图:
着重分析写入Cookie for website1的附加属性:
Path 指示需要发送该cookie头的根url, =/ 表示站点下所有地址都会发送该CookieSameSite 设置该Cookie的同源策略, = none 指示客户端禁用Cookie的同源限制HttpOnly 指示创建的Cookie是否能通过Javascript访问(该cookie依然存于浏览器上),这里true,表示不能通过Javascript访问该Cookie从属性定义看,属性值的写法也无懈可击。
最后在官方站点找到如下内容:
The SameSite = None parameter causes compatibility problems with clients that implemented the prior 2016 draft standard (for example, iOS 12). See Supporting older browsers in this document; Apps accessed from older browsers which support the 2016 SameSite standard may break when they get a SameSite property with a value of None. Web apps must implement browser detection if they intend to support older browsers遵守IETF 2016草案的浏览器不认识Samesite= None属性值,会遇到兼容性问题,若站点打算支持这些旧内核浏览器须实现浏览器嗅探。
这个信息让我眼前一亮,赶紧对比故障的浏览器内核:
User-Agent: Mozilla/5.0(Windows NT10.0; WOW64) AppleWebKit/537.36(KHTML, like Gecko) Chrome/65.0.3314.0Safari/537.36SE2.X MetaSr1.0搜狗浏览器Chrome内核版本65,位列不兼容列表,binggo, 问题定位。
修复策略
我们的目的是为兼容这些旧核心浏览器,但是本人不打算打补丁(浏览器嗅探,根据User-Agent屏蔽SameSite=none),结合站点的同源限制的现状,本站点没有必要显式设置SameSite= None,可保持SameSite默认值Lax。说干就干,修改SameSite属性值为Lax,重新k8s部署之后,搜狗浏览器正常单点登陆。
context.Response.Cookies.Append(_options.SsoTgtName, tgt1,newMicrosoft.AspNetCore.Http.CookieOptions{HttpOnly =true,SameSite = Microsoft.AspNetCore.Http.SameSiteMode.Lax,Secure =false,});SameSite历史和版本变更
ASP.NET Core是在2.0版本开始支持SameSite(IETF 2016草案),ASP.NET Core默认将Cookie SameSite设为Lax, 遇到身份验证问题后,大多数SameSite使用被禁用。IETF 2019标准发布了修复补丁,2019 SameSite草案规定:
与2016年草案不向后兼容
默认将Cookie SameSite= Lax
显式设置SameSite=None时,必须将该Cookie标记为Secure,
None是一个新值ASP.NET Core 3.1在SameSite枚举值新增Unspecified,表示不写入SameSite属性值,继承浏览器默认的Cookie策略
预定于2020年2月由Chrome默认启用该草案,浏览器需要迁移至该草案。
综上,SameSite=None引出了一个难缠的浏览器新旧版本兼容问题,就本站而言, Cookie的同源策略SameSite=Lax是可行的,是能够适应大多数单点登录。
[1] https://docs.microsoft.com/en-us/aspnet/core/security/samesite?view=aspnetcore-2.1[2] https://devblogs.microsoft.com/aspnet/upcoming-samesite-cookie-changes-in-asp-net-and-asp-net-core
▼
往期精彩回顾
▼
转载是一种动力,分享是一种美德~~..~~
如果你觉得文章还不赖,您的鼓励是原创干货作者的最大动力,让我们一起激浊扬清。
-
上一篇
一、极速内核专注高速
在互联网上获取信息时加载缓慢,意味着时间成本的增加和精力的浪费。因此,不论互联网如何更新换代,上网速度始终是每个人最基本也是最重要的需求。浏览器的内核则是提高网页加载速度的关键,搜狗浏览器7.0版率先完成技术突破,推出全新升级的Chrome内核版本。同时双核体系下,新版搜狗浏览器保证速度性和兼容性的统一,不论是在目前主流的HTML5test测试中还是Peacekeeper测试,都以排名第一的出众实力优于同类竞品。搜狗浏览器7.0版在极速内核的有力支持和搜狗技术的深入优化下,网页展现速度显著变快,网页兼容性更强,真正实现了微秒开网页的极速体验。
二、智能稳定 呵护安全
仅仅是提升速度性和兼容性还是不够的,新版本同时优化了浏览器的稳定性和安全性。7.0版搜狗浏览器网页加载更稳定,降低页面卡顿的可能,用户可以轻松实现多任务异步浏览,即便经过多重跳转或快速切换也不会产生崩溃问题;此外,从安全性方面考量,本次内核重磅升级后的新版搜狗浏览器安全性更高,能高效应对各类恶意网站和钓鱼攻击。经小编亲测,在观看视频以及加载网页游戏时没有出现闪退、白屏等烦恼,也能甄别钓鱼网站,省时更省心,为你的安全上网保驾护航。
三、直播录制 拥抱多元
更快更稳定搜狗浏览器7.0版最全评测
近日,搜狗浏览器7.0版正式上线,在继续发力更快速、更稳定两大特性的同时,还在核心功能上做了优化升级。搜狗浏览器7.0版内置直播录制功能,可以全方位满足直播热潮
-
下一篇
大多数人会通过浏览器去搜索一些自己不知道的东西,也通过浏览器去访问一些官网等,然而这些搜索痕迹都会被记录到浏览器中。当然,每个人都有自己的隐私。涉及到一些隐私的痕迹,并不希望被浏览器记录。或者被他人看到。那么如何清除浏览器的访问记录呢?
因为手机品牌不同,所用的浏览器也不同。
所以我们先以谷歌浏览器为例:
方法步骤:
1、 长按搜索框下的历史词条。弹出如图对话框,点击确定。
图1
2、点击右上角三点标志,如图:
如何彻底清除手机浏览器的访问记录。