当前位置:网站首页>【教程】chrome关闭跨域策略cors、samesite,跨域带上cookie

【教程】chrome关闭跨域策略cors、samesite,跨域带上cookie

2022-07-03 02:17:00 云牧青

谷歌浏览器允许跨域origin,disable samesite,方便本地开发调试,测试csrf跨站请求伪造漏洞

写稿时间:2022年6月30日

犹记得两年前,测试csrf漏洞时得心应手。现如今,csrf已成历史

chrome,Firefox更新迭代到现在,已将跨域请求打到苟延残喘

苦了本地调试的开发人员,前端一个端口,后端一个端口,就跨域无法带cookie了

网上广为流传的开启跨域的方法,以以下命令启动chrome:

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:\ChromeDevUserData"

这会启动一个和你原本chrome互不干扰的浏览器,但目前实测最新版浏览器,依旧不能复现csrf,但是用以下增强版,似乎是能解决本地调试前后端时的跨域问题的

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir="D:\ChromeDevUserData"

依旧不能复现csrf,想复现,只能使用旧版chrome

旧版chrome可以在这里直接下载:https://www.chromedownloads.net/chrome64win-stable/

如果不想用百度云盘,而且想在官网下载的话,可以这样操作

  1. 根据chrome版本号,找到内部的版本号

https://omahaproxy.appspot.com/

  1. 根据内部版本号,去下载离线包

https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html

亲测可用的版本:722274,19年12月的版本

选win64 zip使用上述增强参数启动即可


原网站

版权声明
本文为[云牧青]所创,转载请带上原文链接,感谢
https://blog.csdn.net/yunmuq/article/details/125541147

边栏推荐

猜你喜欢

随机推荐