【教程】chrome關閉跨域策略cors、samesite，跨域帶上cookie

穀歌瀏覽器允許跨域origin，disable samesite，方便本地開發調試，測試csrf跨站請求偽造漏洞

寫稿時間：2022年6月30日

猶記得兩年前，測試csrf漏洞時得心應手。現如今，csrf已成曆史

chrome，Firefox更新迭代到現在，已將跨域請求打到苟延殘喘

苦了本地調試的開發人員，前端一個端口，後端一個端口，就跨域無法帶cookie了

網上廣為流傳的開啟跨域的方法，以以下命令啟動chrome：

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="D:\ChromeDevUserData"

這會啟動一個和你原本chrome互不幹擾的瀏覽器，但目前實測最新版瀏覽器，依舊不能複現csrf，但是用以下增强版，似乎是能解决本地調試前後端時的跨域問題的

"C:\Program Files\Google\Chrome\Application\chrome.exe" --disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir="D:\ChromeDevUserData"

依舊不能複現csrf，想複現，只能使用舊版chrome

舊版chrome可以在這裏直接下載：https://www.chromedownloads.net/chrome64win-stable/

如果不想用百度雲盤，而且想在官網下載的話，可以這樣操作

1. 根據chrome版本號，找到內部的版本號

https://omahaproxy.appspot.com/

2. 根據內部版本號，去下載離線包

https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html

親測可用的版本：722274，19年12月的版本

選win64 zip使用上述增强參數啟動即可