【教程】chrome关闭跨域策略cors、samesite，跨域带上cookie

谷歌浏览器允许跨域origin，disable samesite，方便本地开发调试，测试csrf跨站请求伪造漏洞

写稿时间：2022年6月30日

犹记得两年前，测试csrf漏洞时得心应手。现如今，csrf已成历史

chrome，Firefox更新迭代到现在，已将跨域请求打到苟延残喘

苦了本地调试的开发人员，前端一个端口，后端一个端口，就跨域无法带cookie了

网上广为流传的开启跨域的方法，以以下命令启动chrome：

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:\ChromeDevUserData"

这会启动一个和你原本chrome互不干扰的浏览器，但目前实测最新版浏览器，依旧不能复现csrf，但是用以下增强版，似乎是能解决本地调试前后端时的跨域问题的

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir="D:\ChromeDevUserData"

依旧不能复现csrf，想复现，只能使用旧版chrome

旧版chrome可以在这里直接下载：https://www.chromedownloads.net/chrome64win-stable/

如果不想用百度云盘，而且想在官网下载的话，可以这样操作

1. 根据chrome版本号，找到内部的版本号

https://omahaproxy.appspot.com/

2. 根据内部版本号，去下载离线包

https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html

亲测可用的版本：722274，19年12月的版本

选win64 zip使用上述增强参数启动即可