Cookie 的 SameSite 属性

最新推荐文章于 2024-07-02 17:57:28 发布
最新推荐文章于 2024-07-02 17:57:28 发布
阅读量1k 收藏 4
点赞数 2
分类专栏: # 日常工作 文章标签: java web cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abu935009066/article/details/113759251
版权

文章目录


Cookie 的 SameSite属性用来限制第三方 Cookie,从而减少安全风险。

它可以设置三个值。

  • Strict
  • Lax
  • None

1 Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2 Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

设置了StrictLax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

3 None

Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

lakernote
关注
专栏目录
Cookie中的SameSite标示是什么
墨痕诉清风的博客
08-30 228
SameSiteCookie中的一个属性用来限制第三方Cookie,从而减少安全风险。Chrome 51 开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。Web 前端安全,从影响面看排名前两位的就是XSS 和 CSRF,其基本原理都是攻破了浏览器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 2011
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie中的
Cookie的SameSite属性
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
SpringBoot解决“此Set-Cookie标头未指定‘SameSite属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
最新发布
m0_71905098的博客
07-02 869
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域的问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9289
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
理解前端Cookie中的SameSite属性
Keep trying, keep going
06-12 532
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
Cookie Samesite简析
の博客
05-16 596
Cookie Samesite简析
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Cookie SameSite属性的扩展 自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将...
set-cookie中的SameSite属性
热门推荐
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie中的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
Cookie - SameSite
Moon Star
07-27 293
Domain / Path 作用域 Domain是限制域名,设置为www.lilnong.top的话,cors.lilnong.top就获取不到了。Path是限制路径,如果设置为/cors的话,/api下的请求就不会携带该cookie。 Expires / Max-Age 有效性 Expires是当前Cookie的过期时间,默认是会话级别。 Max-Age是当前Cookie经过多少秒失效。 大于 0 是计算经过多少秒失效 等于 0 是会话级别,关闭浏览器就失效 小...
cookie的sameSite
weixin_46773434的博客
11-16 436
项目场景: # 项目场景: 由于我的移动端项目是从微信那边获取的openId,在通过拿到openId获取人员信息,拿到openId只能在微信浏览器中打开,这就给我们调试造成了很大的困扰,不过我们PC端有登录接口,通过用户名密码可以拿到用户的信息,然后拿到cookie,在上移动端,通过cookie直接在我们自己服务上拿到信息,这就省略了从微信拿openId的步骤。 问题描述: 跨域cookie没种进去,请求也没携带cookie,如图 原因分析: 这里我们可以看到,响应头里返回了cookie 种在根路径
Cookie 的 SameSite 属性(阮一峰的网络日志)
qq_42967540的博客
09-15 1031
Cookie 的 SameSite 属性(阮一峰的网络日志) Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后来又访问了恶意网站ma
浏览器Cookie&SameSite
tonggui77的博客
06-01 1574
目录 Cookie基础 why HTTP 1.x是无状态的协议 what 浏览器在浏览网站时存储在用户计算机上的一小段数据。 被设计为网站记住状态信息或记录用户的浏览活动 记住用户先前在表单字段中输入的信息 when 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) .
【译】Cookie的SameSite属性
weixin_33692284的博客
03-14 7546
翻译自:medium.com/compass-sec… 17年的文章,是对 CSRF 很好的防御手段 理解了这个属性也能避免很多开发上的麻烦,例如 iFrame 中的 Cookie 处理 介绍 过去十年,我教我的学生五个 cookie 属性:“path, domain, expire, HttpOnly, Secure”。但是现在我们有了一个新属性 -SameSite。你知道新引入的 Sam...
Set-Cookie: ...;SameSite=strict
xuehao1997的博客
06-04 379
cookie设置
nginx配置 设置cookie的samesite属性
04-25
好的,对于这个问题,可以在nginx配置中添加以下代码: ``` location / { add_header Set-Cookie "name=value;...注意,如果使用了SameSite属性,则必须同时设置Secure属性,以保证cookie只能在https安全连接中传输。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lakernote

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值