Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

已于 2022-03-17 19:04:58 修改
阅读量729 收藏 1
点赞数
分类专栏: java 文章标签: chrome csrf 前端 java web
于 2021-12-13 09:29:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/connection_/article/details/121897816
版权

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。

Strict
Lax
None

1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2、Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;

3、None 网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
下面的设置无效。
Set-Cookie: widget_session=abc123; SameSite=None
下面的设置有效。
Set-Cookie: widget_session=abc123; SameSite=None; Secure

现在做系统,很多时候会有系统内嵌的情况发生(比如主平台系统需要嵌入第三方系统,第三方需要进行改造),内嵌的系统也需要存储登录信息,但是由于samesite的原因导致cookie不能用,则session也不可用。而且糟糕的是local/session story也不可用。导致web浏览器端无法将登录会话信息保存。那么使得系统不能保持登录状态。

解决方案是将内嵌的系统改成https。将samesite=none;secure 来让cookie有效。可以将会话等等信息存储到cookie中,这样就可以保持登录会话信息了。

低版本的servlet cookie不支持samesite属性,项目也不能升级到高版本。解决方案为:
在项目新建一个 CookieFilter 去实现servlet 的filter。在其中进行httpservletresponse warp。
将response.addCookie() 进行改写成

public void addCookie(Cookie cookie){
    
    //其他cookie属性自行补充
     String value = cookie.getName()+"="+cookie.getValue()+";SameSite=None;Secure";
    response.setHeader("Set-Cookie",value);
}

这样就可以让此filter之后的addCookie都是带有SameSite属性的,保证了cookie的有效性。

还有一个解决方案就是两个网站使用同一个一级域名,
比如a网站域名为: a.xxxx.com
b网站域名为: b.xxxx.com

connection_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列之二:如何防止CSRF攻击
javagty6778的博客
03-07 477
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
chrome浏览器51版64位
08-07
64位谷歌浏览器 版本 52.0.2743.116 m (64-bit)
SameSite Cookie防止 CSRF 攻击
weixin_33851429的博客
07-12 898
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
最新发布
weixin_39459811的博客
07-05 349
将SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器Cookie增加一个SameSite属性,用来防止CSRF攻击用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器CSRF
[Java]Spring增加Cookie属性SameSite
qq_28033719的博客
07-01 6009
前言: SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于浏览器chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。 SameSite防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...
[Web性能优化]Chrome 51 引入特性:Passive event listeners
justjavac的专栏
12-18 613
Chrome 的 touch 事件监听器的页面中,80% 的页面都不会调用 preventDefault 来阻止事件的默认行为。在滑动流畅度上,有 10% 的页面增加至少 100ms 的延迟,1% 的页面甚至增加 500ms 以上的延迟
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
前端安全:如何防止CSRF攻击
02-24
当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多...
django-cookies-samesite:该存储库包含一个中间件,该中间件会自动为Django的旧版本中的会话和csrf cookie设置SameSite属性
05-02
django-cookies-相同站点 该存储库包含一个中间件,该中间件会自动为Django的旧版本(例如1.11.x,2.2.x或3.0.x)中的会话和csrf cookie设置SameSite属性。 Django 3.1.x不需要此模块,它为会话和csrf cookie引入了...
Java Web项目中response.addCookie(cookie_response)发现错误问题
UnderBamboo的博客
06-10 1408
具体问题如下: HTTP Status 500 – Internal Server Error Type 异常报告 消息 在 [37] 行处理 [/Example7-4-9/response.jsp] 时发生异常 描述 服务器遇到一个意外的情况,阻止它完成请求。 Exception org.apache.jasper.JasperException: 在 [37] 行处理 [/Example7-4-9/response.jsp] 时发生异常 34: }else{ 35: cookie
谷歌浏览器安装包(51.0.2704.106)
07-13
谷歌浏览器安装包
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击用户追踪
qq_44700839的博客
10-20 515
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击用户追踪) 遇到的问题: 项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 从 Chrome 51 开始,浏览器Cookie增加一个 SameSite属性,用来防止 CSRF攻击用户追踪。该设置当前默认是关闭的,但在 Chrome 80 之后,该功能默
Chrome Extension制作CSRF跨站扫描器
weixin_33853827的博客
02-13 78
思路 利用Chrome的HAR功能, 将分析请求中的csrf_token参数, 进行再次模拟请求, 并根据返回结果判断是否存在csrf漏洞. crx稍后放出 ...
Set-Cookie: ...;SameSite=strict
xuehao1997的博客
06-04 365
cookie设置
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9232
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
JavaScript cookie SameSite=Strict 防止CSRF请求伪造漏洞
qq_33646504的博客
11-03 792
这里写自定义目录标题 document.cookie = ‘SameSite=Strict’; 链接: https://github.com/GoogleChromeLabs/samesite-examples/blob/master/javascript.md. 图片: 带尺寸的图片: 居中的图片: 居中并且带尺寸的图片:
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器Cookie 增加一个SameSite属性,用来防止 CSRF 攻击用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
SameSite是什么?
0xuu的博客
07-04 597
其方案就是给 Cookie 一个属性,用这个属性来控制什么情况下可以发送 Cookie,这个属性就是我们今天要讨论的 SameSite 属性。当然,前提是用户浏览器支持 SameSite 属性。稍微尴尬的是有些企业还没有这个觉悟,比如我们常用的 Java Web 开发底层框架,Servlet 的 Cookie 类还没有支持这个属性,需要我们自己去实现。就像对抗疫情一样,Web 安全治理需要整个行业技术生态的支持,从这个角度看,我们互联网技术人应该积极响应和支持 Google 的这个策略。
.net core 如何编写防止 CSRF 攻击
03-29
防止 CSRF 攻击的方法通常有以下几种: 1. 随机化表单 Token 在表单中添加一个随机的 Token 字段,每次提交表单时都要验证这个 Token 是否合法。这种方法可以防止 CSRF 攻击,因为攻击者无法获取到合法的 Token。 2. 验证 Referer 在服务器端验证请求的 Referer 是否为合法域名,如果不是则拒绝请求。这种方法可以防止简单的 CSRF 攻击,但是 Referer 可以被篡改,所以并不是绝对可靠的方法。 3. 使用 SameSite CookieCookie 中设置 SameSite 属性为 Strict 或 Lax,这样浏览器就可以防止跨站请求。但是此方法需要浏览器的支持,不是所有浏览器都支持 SameSite 属性。 在 .NET Core 中,可以使用以下方法来防止 CSRF 攻击: 1. 使用 Antiforgery 中间件 在 Startup.cs 文件中配置 Antiforgery 中间件,然后在需要防止 CSRF 攻击的地方添加 ValidateAntiForgeryToken 属性即可。 ```csharp public void ConfigureServices(IServiceCollection services) { services.AddAntiforgery(options => { options.HeaderName = "X-CSRF-TOKEN"; }); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseAntiforgery(); } ``` ```csharp [HttpPost] [ValidateAntiForgeryToken] public IActionResult SubmitForm() { // 处理表单提交 } ``` 2. 验证 Referer 在需要防止 CSRF 攻击的地方,可以使用以下代码来验证请求的 Referer 是否为合法域名: ```csharp if (!Request.Headers["Referer"].ToString().StartsWith("https://example.com")) { return BadRequest(); } ``` 3. 使用 SameSite Cookie 在需要防止 CSRF 攻击的地方,可以使用以下代码来设置 SameSite 属性: ```csharp Response.Cookies.Append("cookieName", "cookieValue", new CookieOptions { SameSite = SameSiteMode.Strict }); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值