Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)

最新推荐文章于 2024-05-03 17:06:18 发布
VIP文章 最新推荐文章于 2024-05-03 17:06:18 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: 安全篇 计算机网络 文章标签: csrf 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1290320893/article/details/122680204
版权

Cookie-SameSite属性

一、CSRF攻击

我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行;

二、同站和跨站

这边对于同站的理解非常重要:
Cookie中的同站:只要两个url地址的有效顶级域名+二级域名是相同的就算是同站,例如www.a.smile.com 和 www.b.smile.com 是同站,而www.taobao.com 和 www.baidu.com非同站;a.github.io 和 b.github.io 是跨站(原因:.com是一级域名,github.io是二级域名)。

三、Samesite存在的作用

既然我们知道了同站和跨站的区别,SameSite存在的意义就是去防止CSRF攻击,我们去思考一下,如果是你会怎么设计,再联想一下刚才的同站,我们肯定想只要在我的站内都是允许你携带cookie,这样才能保证更好的用户体验,主要我注册了二级域名,表明这个是我的站,在我的站内自然允许cookie携带,之前我也想过会不会有有人恶意注册二级域名,当然,这个二级域名不是想注册就能注册的;

四、Samesite三个属性

之前看的一篇博客写的是只有当前网页和url和请求目标一致,才会带上cookie,经过测试发现跨子域也是没有问题的,即当前网址为backend.smile.com请求网址为front.smile.com是没有问题的,是允许的,因为是同站;

五、测试

5.1、一开始浏览器中没有cookie;

//判断浏览器中有误cookie
@GetMapping("/index")
    public Obje
最低0.47元/天 解锁文章
java请多指教
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS与CSRF两种攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式来构造动态SQL语句创建应用,于是SQL注入成了很流行的攻击方式。在这个年代,参数化查询[1]已经成了普遍用法,我们已经离SQL注入很远了。但是,历史同样悠久的XSS和CSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免XSS也是很容易的,重点是要“小心”。但最近又听说了另一种攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2045
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
c# HttpCookie操作,建立cookie工具类
情绪不稳定的98年程序员
02-22 703
Cookie是一种在客户端和服务器之间传递数据的机制,用于跟踪用户的会话状态和存储用户相关的信息。它通常由服务器发送给客户端,并由客户端保存在浏览器中。通过使用HttpCookie类,开发人员可以轻松地创建和管理HTTP Cookie。它在Web应用程序中广泛应用,用于存储和传递与用户会话相关的数据。Framework中用于管理和操作HTTP Cookie的类。它提供了一种方便的方式来创建、设置、读取和删除Cookie。以下是通过HttpCookie建立工具类的代码,可根据具体需求调整。
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
Cookie SameSite 原型 原型链 作用域 变量对象 作用域
weixin_49739911的博客
03-25 1080
Cookie SameSite 原型 原型链 作用域 变量对象 作用域
Cookies的SameSite属性
weixsun的博客
04-19 2040
自Chrome 51版本开始,浏览器的 Cookies 新增了一个SameSite属性,用来防止 CSRF 攻击和信息泄漏,更多信息参考chrome Feature: 'SameSite' cookie attribute。 简单回顾什么是CSRF攻击 Cookies往往用来存储用户的身份信息,恶意网通过设法伪造带有正确Cookies进行 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网your-bank.com,银行服务器发来了一个 Cookie。 Set-Coo
SameSite Cookie,防止 CSRF 攻击
weixin_33851429的博客
07-12 879
因为 HTTP 协议是无状态的,所以很久以前的网是没有登录这个概念的,直到网景发明 cookie 以后,网才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
Cookie 的 SameSite 属性
laker的博客
02-08 967
文章目录1 Strict2 Lax3 None Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1 Strict Strict最为严格,完全禁止第三方 Cookie点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 8966
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
SameSite cookie 解释
zhuoyusmile的专栏
08-30 859
https://web.dev/samesite-cookies-explained/ 通过学习如何明确标记cookie来保护您的点。 Cookie是一种可用于向网添加持久状态的方法。多年来,它的能力不断增长和发展,但给平台留下了一些遗留问题。为了解决这个问题,浏览器(包括Chrome、Firefox和Edge)正在改变它们的行为,以强制执行更多隐私保护默认值。 每个cookie都是一个 key=value 的键值对,以及一些控制何时何地使用该cookie属性。您可能已经使用了这些属性
SameSite Cookie
qq_33903215的博客
03-03 528
简介 Cookies是可用于向网添加持久状态的方法之一。多年来,他们的能力不断发展壮大,但使平台遗留了一些有问题的遗留问题。为了解决这个问题,浏览器(包括Chrome,Firefox和Edge)正在更改其行为,以强制实施更多保留隐私的默认设置。 每个Cookie都是一key=value对,以及许多控制何时和何处使用该Cookie属性。您可能已经使用这些属性来设置诸如到期日期之类的内容,或者指示cookie仅应通过HTTPS发送。服务器通过Set-Cookie在响应中发送适当命名的标头来设置Cookie
攻击(XSS+CSRF).docx
01-05
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
SpringSecurity框架下实现CSRF攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF攻击防御,需要的朋友可以参考下
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
01-21
这样看似一对的写法其实是为了避免引入请求伪造(CSRF攻击。 这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年...
前端安全防护实战:XSS、CSRF防御与同源策略详解(react 案例)
最新发布
qq_35374791的博客
05-03 676
前端安全防护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击的防御、CSRF (Cross-Site Request Forgery) 攻击的防御,以及浏览器的同源策略
element-ui的bug记录
nick_zhang的博客
04-29 390
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1104
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 273
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 267
createWs("测试数据", (res) => {
Cross-Site Request Forgery (CSRF) Attack Lab
09-04
Cross-Site Request Forgery (CSRF) Attack Lab是一个网络安全实验,旨在测试和演示请求伪造攻击CSRF)的原理和实践。实验中通过创建恶意网页和利用漏洞,攻击者可以伪造用户身份进行各种未经授权的操作,如修改个人资料、发送消息等。 在实验中,针对Elgg网络社交平台进行了CSRF攻击的演示。在Task 1中,可以观察到攻击者发送了HTTP请求并窃取了Alice的个人资料。在Task 4中,实验也提供了一种对抗CSRF攻击的方法。 对于问题中的具体内容,如果Bob想要对访问他恶意网页的任何人进行攻击,他无法直接通过恶意网页修改受害者的Elgg个人资料。这是因为要发送修改请求,需要知道受害者的id号,而在这种情况下,Bob并不知道访问者的id号。如果要攻击其他用户,Bob需要先获取其id并修改攻击的请求报文。 在CSRF攻击实验中,通过网络抓包可以看到攻击者的网发送了添加好友的请求报文给Elgg服务器,使得攻击者成功添加了Boby为好友。这是通过伪造Alice的身份来实现的。 总结起来,Cross-Site Request Forgery (CSRF) Attack Lab是一个网络安全实验,通过演示和测试请求伪造攻击的原理和实践,并提供了对抗CSRF攻击的方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Cross-Site Request Forgery (CSRF) Attack Lab网安实验](https://blog.csdn.net/l4kjih3gfe2dcba1/article/details/118705162)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值