search

CzBiX / qb-web

A qBittorrent Web UI, write in TypeScript+Vue.
GNU General Public License v3.0
1.71k stars 137 forks source link

online版本无法进入页面 #83

Open Paris0-0 opened 3 years ago

Paris0-0 commented 3 years ago

已开启https,参照wiki设置online模式,一直卡在登陆界面不断要求重新登录,但看日志是登录成功了的

CzBiX commented 3 years ago

看看 F12 的 console

Paris0-0 commented 3 years ago

显示 GET https://address:port/api/v2/sync/maindata 403 (Forbidden) xhr.js:178

CzBiX commented 3 years ago

请确认有按照 wiki 图中的内容进行设置

Paris0-0 commented 3 years ago

一模一样的设置啊…,该钩的该加的都加了 IMG_1231

CzBiX commented 3 years ago

403 是认证失败,可能是你打错了密码,或者还使用了其他认证方式。

Paris0-0 commented 3 years ago

唉搞不懂,密码肯定对的,在日志里看也是是webapi登录成功的,就是进不去界面,还是下载下来替换吧

NanamiMio commented 3 years ago

同样的问题,Headers 已经设置过了,密码也没有问题。 F12 查看网络活动,第一个请求POST /api/v2/auth/login返回 200,第二个请求GET /api/v2/sync/maindata返回 403。 版本:qBittorrent v4.3.1

NanamiMio commented 3 years ago

问题已定位并找到解决办法 解决方法: 浏览器地址栏输入 chrome://flags,搜索 SameSite,将 SameSite by default cookies 设为 Disable 即可。 原因: Cookie 的 SameSite 属性用来防止 CSRF 攻击和用户追踪,可以有三个值:Strict,Lax,NoneStrict 完全禁止跨站 Cookie,Lax 只有在链接、预加载请求、GET 表单三种情况才发送跨站 Cookie,None 不禁止跨站 Cookie。 如果 qBittorrent 中 ”启用跨站请求伪造“ 选项未勾选,将不会指明 SameSite 属性,浏览器会设置一个默认值。截至 2020.8.11,所有的 Chrome v80 以上版本都已将默认值设为 Lax。Edge v86 以上版本也将默认值设为 Lax。所以后续 API 请求无法带上 Cookie,收到 403 返回。

参考链接: https://www.chromium.org/updates/same-site https://web.dev/samesite-cookies-explained https://docs.microsoft.com/zh-cn/microsoft-edge/web-platform/site-impacting-changes https://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html

Paris0-0 commented 3 years ago

在chrome上成功了,在Safari上有什么办法吗

NanamiMio commented 3 years ago

在chrome上成功了,在Safari上有什么办法吗

试试关闭阻止跨网站跟踪选项

Paris0-0 commented 3 years ago

可以了,感谢

CzBiX commented 3 years ago

@showerMuggle 非常感谢。

我试试和 QB 官方提提,看能不能提供 CORS 操作的能力。 如果不行的话,这个功能只能去掉了。让每个用户都修改安全设置不是一个好方案。

CzBiX commented 3 years ago

看起来新版 API 还挺远的。 https://github.com/qbittorrent/qBittorrent/issues/14130

用 Nginx 之类的重写 header 功能可能可以绕过,但又没了在线版本配置使用简单的初衷。😐

leverule commented 2 years ago

看起来新版 API 还挺远的。 qbittorrent/qBittorrent#14130

用 Nginx 之类的重写 header 功能可能可以绕过,但又没了在线版本配置使用简单的初衷。😐

大神,现在新版edge完全不能用在线版本了,samesite cookie选项都没了,找了一圈也没方案😥 有临时方案吗,在线版本的一大好处是两种webui同时使用无需切换,需要哪个功能打开哪个ui,之前来回切换切出很多毛病,比如中文失效等,再也不想切换了...

leverule commented 2 years ago

大佬没事了,换用火狐目前正常👌

CzBiX commented 2 years ago

在 qBittorrent 提了个 PR,看看能不能合并吧。 https://github.com/qbittorrent/qBittorrent/pull/16993

CzBiX commented 1 year ago

https://github.com/qbittorrent/qBittorrent/pull/18843 4.6.0 有望支持🙃

ReddotCleaner commented 1 year ago

qbittorrent/qBittorrent#18843 4.6.0 有望支持🙃

4.6更新了,支持了没?🤨

CzBiX commented 1 year ago

看起来是支持了,但有两个前提:

  1. 在 QB 中配置 HTTPS
  2. 禁用 CSRF 保护和启用 secure cookie