Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

已于 2022-03-17 19:04:58 修改
阅读量758 收藏 1
点赞数
分类专栏: java 文章标签: chrome csrf 前端 java web
于 2021-12-13 09:29:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/connection_/article/details/121897816
版权

Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。

Strict
Lax
None

1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

2、Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;

3、None 网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
下面的设置无效。
Set-Cookie: widget_session=abc123; SameSite=None
下面的设置有效。
Set-Cookie: widget_session=abc123; SameSite=None; Secure

现在做系统,很多时候会有系统内嵌的情况发生(比如主平台系统需要嵌入第三方系统,第三方需要进行改造),内嵌的系统也需要存储登录信息,但是由于samesite的原因导致cookie不能用,则session也不可用。而且糟糕的是local/session story也不可用。导致web浏览器端无法将登录会话信息保存。那么使得系统不能保持登录状态。

解决方案是将内嵌的系统改成https。将samesite=none;secure 来让cookie有效。可以将会话等等信息存储到cookie中,这样就可以保持登录会话信息了。

低版本的servlet cookie不支持samesite属性,项目也不能升级到高版本。解决方案为:
在项目新建一个 CookieFilter 去实现servlet 的filter。在其中进行httpservletresponse warp。
将response.addCookie() 进行改写成

public void addCookie(Cookie cookie){
    
    //其他cookie属性自行补充
     String value = cookie.getName()+"="+cookie.getValue()+";SameSite=None;Secure";
    response.setHeader("Set-Cookie",value);
}

这样就可以让此filter之后的addCookie都是带有SameSite属性的,保证了cookie的有效性。

还有一个解决方案就是两个网站使用同一个一级域名,
比如a网站域名为: a.xxxx.com
b网站域名为: b.xxxx.com

connection_
关注
专栏目录
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5425
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
Cookie中的SameSite标示是什么
最新发布
墨痕诉清风的博客
08-30 265
SameSiteCookie中的一个属性用来限制第三方Cookie,从而减少安全风险。Chrome 51 开始,浏览器Cookie增加一个SameSite属性,用来防止CSRF攻击用户追踪Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。Web 前端安全,从影响面看排名前两位的就是XSS 和 CSRF,其基本原理都是攻破了浏览器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。
chrome浏览器51版64位
08-07
64位谷歌浏览器 版本 52.0.2743.116 m (64-bit)
SameSite Cookie防止 CSRF 攻击
weixin_33851429的博客
07-12 927
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
[Java]Spring增加Cookie属性SameSite
qq_28033719的博客
07-01 6320
前言: SameSite 属性相对项目的 javax.servlet-api:3.1.0还是太了,而项目是 Spring 的,并且 Cookie 并没有 SameSite 这个属性,那么对于浏览器chrome 80 之后等)多了 SameSite 属性,比如说单点登录这种,导致没有带上 token 而用户一直登录不了,现在就得给cookie带上 SameSite。 SameSite防止第三方恶意 CSRF 攻击,所以用于控制第三方 Cookie,有 ...
前端安全系列之二:如何防止CSRF攻击
javagty6778的博客
03-07 500
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
[Web性能优化]Chrome 51 引入特性:Passive event listeners
justjavac的专栏
12-18 636
Chrome 的 touch 事件监听器的页面中,80% 的页面都不会调用 preventDefault 来阻止事件的默认行为。在滑动流畅度上,有 10% 的页面增加至少 100ms 的延迟,1% 的页面甚至增加 500ms 以上的延迟
Cookie 的 SameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
Chrome 浏览器 Cookie 跨域共享与升级问题
烫一壶女儿红
06-02 1443
Chrome 51 版本开始,浏览器Cookie 增加一个SameSite属性,用来防止 CSRF 攻击用户追踪。SameSite 可以设置三个值(Strict、Lax、None)。 详见阮一峰的Cookie 的 SameSite 属性 由此可见,在开发过程中运行本地项目,对于前端来说,想要实现浏览器跨域共享cookie,必须设置浏览器的实验属性。 在Chrome 地址栏输入chrome://flags打开Chrome 实验。 通过设置SameSite by default cookies、C
Java Web项目中response.addCookie(cookie_response)发现错误问题
UnderBamboo的博客
06-10 1424
具体问题如下: HTTP Status 500 – Internal Server Error Type 异常报告 消息 在 [37] 行处理 [/Example7-4-9/response.jsp] 时发生异常 描述 服务器遇到一个意外的情况,阻止它完成请求。 Exception org.apache.jasper.JasperException: 在 [37] 行处理 [/Example7-4-9/response.jsp] 时发生异常 34: }else{ 35: cookie
谷歌浏览器安装包(51.0.2704.106)
07-13
谷歌浏览器安装包
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击用户追踪
qq_44700839的博客
10-20 565
Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击用户追踪) 遇到的问题: 项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 从 Chrome 51 开始,浏览器Cookie增加一个 SameSite属性,用来防止 CSRF攻击用户追踪。该设置当前默认是关闭的,但在 Chrome 80 之后,该功能默
Chrome Extension制作CSRF跨站扫描器
weixin_33853827的博客
02-13 86
思路 利用Chrome的HAR功能, 将分析请求中的csrf_token参数, 进行再次模拟请求, 并根据返回结果判断是否存在csrf漏洞. crx稍后放出 ...
Set-Cookie: ...;SameSite=strict
xuehao1997的博客
06-04 432
cookie设置
Cookie的SameSite属性
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器Cookie 增加一个SameSite属性,用来防止 CSRF 攻击用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9389
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
JavaScript cookie SameSite=Strict 防止CSRF请求伪造漏洞
qq_33646504的博客
11-03 822
这里写自定义目录标题 document.cookie = ‘SameSite=Strict’; 链接: https://github.com/GoogleChromeLabs/samesite-examples/blob/master/javascript.md. 图片: 带尺寸的图片: 居中的图片: 居中并且带尺寸的图片:
SameSite是什么?
0xuu的博客
07-04 644
其方案就是给 Cookie 一个属性,用这个属性来控制什么情况下可以发送 Cookie,这个属性就是我们今天要讨论的 SameSite 属性。当然,前提是用户浏览器支持 SameSite 属性。稍微尴尬的是有些企业还没有这个觉悟,比如我们常用的 Java Web 开发底层框架,Servlet 的 Cookie 类还没有支持这个属性,需要我们自己去实现。就像对抗疫情一样,Web 安全治理需要整个行业技术生态的支持,从这个角度看,我们互联网技术人应该积极响应和支持 Google 的这个策略。
浏览器cookie中SameSite的理解
qq_39217871的博客
04-10 5579
浏览器cookie中的SameSite的理解 浏览器中的cookie信息,可以用于保存用户登录某个站点的信息保存,保持其用户验证的状态。但是cookie又是每次随着请求会自动发送到服务器去的,这就给了其他站点发起CSRF攻击用户追踪的机会。 于是就有了cookie的SameSite属性,用于限制第三方网站的cookie发送机制,具体如下: 1. Strict 最严格的模式,完全禁止跨站点请求时携...
使用SameSite Cookie增强Web应用安全防护
因此,开发者在使用SameSite Cookie时需要考虑到兼容性问题,可能需要结合其他安全措施,如CSRF令牌,来保护不支持SameSite属性浏览器用户。 知识点四:PHP中间件的使用 文档提到的"PSR-15中间件"指的是PHP中间件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值