具有不安全、不正确或缺少SameSite属性的Cookie

已于 2022-02-23 09:07:18 修改
阅读量2.2w 收藏 19
点赞数 2
分类专栏: web安全 文章标签: 安全 http https 前端
于 2022-02-22 18:11:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo15890025019/article/details/123071441
版权

目录

1、概述

最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。
在这里插入图片描述

2、分析

2.1、Samesite属性是个啥?

为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有两个属性值,分别是 StrictLaxNone

2.2、Strict

Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

这个规则过于严格,可能造成非常不好的用户体验。
在这里插入图片描述

aaa.com设置了如下Cookie:

Set-Cookie: CookieName=123456; SameSite=Strict;

我们在bbb.com下发起对aaa.com的任意请求,CookieName这个Cookie不会被包含在Cookie请求头中。就好像淘宝网站用来识别用户登录与否的 Cookie 被设置成了 Samesite=Strict,那么用户从百度搜索页面甚至天猫页面的链接点击进入淘宝后,淘宝都不会是登录状态,因为淘宝的服务器不会接受到那个 Cookie,其它网站发起的对淘宝的任意请求都不会带上那个 Cookie。

2.3、Lax

Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="…"></a>发送Cookie发送Cookie
预加载<link rel=“prerender” href="…">发送Cookie发送Cookie
GET表单<form method=“GET” action="…">发送Cookie发送Cookie
POST表单<form method=“POST” action="…">发送Cookie不发送Cookie
iframe<iframe src="…"></iframe>发送Cookie不发送Cookie
AJAX$.get("…")发送Cookie不发送Cookie
Image<img src="…">发送Cookie不发送Cookie

设置了Strict=Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

在这里插入图片描述
aaa.com设置了如下Cookie:

Set-Cookie: CookieName=123456; SameSite=Lax;

当用户从bbb.com点击链接进入aaa.com时,CookieName这个 Cookie 会被包含在 Cookie 请求头中,也就是说用户在不同网站之间通过链接跳转是不受影响了,但假如这个请求是从 bbb.com 发起的对 aaa.com 的异步请求,或者页面跳转是通过表单的 post 提交触发的,则CookieName也不会发送。

2.4、None

Chrome 80.0将SameSite的默认值设为Lax,。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效:

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效

Set-Cookie: widget_session=abc123; SameSite=None; Secure

3、修复

PHP设置:

从PHP7.3开始,setcookie函数支持数组设置

setcookie($name, $value, [
    'expires' => time() + 86400,
    'path' => '/',
    'domain' => 'domain.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'None',
]);

PHP7.3一下,通过hack方式实现

setcookie('sessionKey', $sessionKey, $expired, '/; secure; SameSite=none;');

Nginx设置:

location ^/abc/ {
    proxy_cookie_path / "/; secure; SameSite=None";
}

Sprintboot设置: 参考:https://juejin.cn/post/6867050293595799560

Passer798
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
记一次低危漏洞处理
Aliux_JLQ的博客
02-23 6794
Spring+Shiro低危漏洞处理
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie: 要求 PHP 7.2+或8.0+ 安装 composer require selective/samesite-cookie SameSite Cookie 相同站点的cookie(“仅第一方”或“第一方”)使服务器断言特定的cookie只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。 警告: SameSite Cookie根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?php use Selective \ SameSiteCookie \ SameSiteCoo
cookie的SameSite属性正确的问题
if_Echo_else的博客
05-22 654
根据上述,总共三种操作方式,汇整如下:最简单:设置chrom为禁用samesiteDJango版本低于2.1:引入库django-cookie-samesite来处理Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None。
Cookie 的 SameSite 属性
qq_33207223的博客
10-15 2112
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 CookieHTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:i...
SpringBoot解决“此Set-Cookie标头未指定‘SameSite属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
最新发布
m0_71905098的博客
07-02 433
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域的问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
Nginx漏洞修复之具有安全、不正确缺少具有安全、不正确缺少 SameSite 属性属性Cookie和跨站点请求伪造
qq_43613949的博客
06-19 391
Nginx漏洞修复之具有安全、不正确缺少具有安全、不正确缺少 SameSite 属性属性Cookie和跨站点请求伪造@
配置类安全问题学习小结
dayouzi的博客
09-06 6694
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
配置或学习记录 - Web安全漏洞问题解决方案参考
Bingo冲冲冲
10-17 8699
下面是由AppScan测试工具所扫描出的一些Web安全漏洞,将解决方案记录在此。(应用使用了Nginx作为反向代理服务器,本文的解决方案都是基于Nginx配置的) 安全漏洞清单: 解决方案(以下涉及的配置文件指Nginx服务器的配置文件nginx.conf): 1.加密会话(SSL)Cookie缺少Secure属性 2.检测到弱密码套件:不支持完全前向保密、弱密码套件-ROBOT 攻击: 服务器支持易受攻击的密码套件、检测到SHA-1密码套件(这里前端请求使用的是httpshttp请求请忽略) 3
Cookie中SameSite的问题与解决办法
热门推荐
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全
中级 通信工程师
09-29
2016年通信中级程师考试已经结束,针对备考群成员要求,老杨自己依据教材对《综合能力》科日逐个题日做了答案标注及详细解析,供大家参考2016年综合能力考试难度一般
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Cookie SameSite属性的扩展 自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将请求发送到基于Magento的网站。 但是,如果没有用于会话cookie的SameSite = None,则Magento无法继续任何PHP会话状态。 该扩展设置SameSite = None并使客户通过3DS付款或其他ID集成下订单。 如何安装 作曲家需要veriteworks / cookiefix bin / magento模块:启用Veriteworks_CookieFix bin / magento设置:升级 配置 在3.0.0-beta1之后,您可以从管理面板更改SameSite Cookie配置。 转到“
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
Web安全学习笔记-Web-Sec Documentation
01-30
文档教导读者如何通过网络入口、域名信息、端口扫描和站点分析等方法来收集目标系统的初步情报,为后续的渗透测试或安全评估做准备。 总的来说,这份Web-Sec Documentation是一份全面的Web安全指南,不仅包含了网络...
解决Cookie 具有缺失、不一致或矛盾属性
huan1213858的博客
12-07 4532
cookie
AppScan安全专项问题解决
weixin_46106147的博客
12-17 1222
通过将 Cookie 限制为第一方或同一站点上下文,防止 Cookie 信息泄露 如果没有额外的保护措施(例如反 CSRF 令牌),攻击可能会扩展到跨站点请求伪造 (CSRF) 攻击。为了从源头上解决CSRF(跨站请求伪造)攻击,Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有三个属性值,分别是 Strict 、Lax和None。这是最安全的伪指令。
具有缺失、不一致或矛盾属性cookie
09-06
具有缺失、不一致或矛盾属性cookie 是指在网站或应用程序中处理 cookie 过程中出现问题的情况。一般来说,cookie 是由网站发送给用户浏览器的小型文本文件,用于存储用户在网站上的偏好设置、登录信息和其他相关数据。然而,有时候 cookie属性可能存在问题,导致其出现缺失、不一致或矛盾的情况。 缺失属性cookie 可能是没有包含必要的信息,例如缺少必要的键值对或没有设置过期时间。这可能导致网站无法正确识别用户,或者无法保存用户的登录状态和偏好设置。 不一致属性cookie 是指在同一个网站的不同页面或同一个会话中,同一个 cookie属性值不一致的情况。例如,在浏览同一个网站的不同页面时,可能会发现同一个 cookie 的值在不同页面中不一样,这可能会影响网站的正确功能。 矛盾属性cookie 是指同一个网站发送给用户浏览器的多个 cookie,它们之间的属性相互矛盾或冲突。例如,一个网站可能发送了多个设置了相同名称但不同值的 cookie,这可能导致网站无法正确解析这些 cookie,并可能对网站功能产生影响。 总之,具有缺失、不一致或矛盾属性cookie 可能会导致网站无法正确识别用户、保存用户的登录状态和偏好设置,或影响网站功能的正常运行。为了解决这些问题,网站开发人员需要确保发送的 cookie 包含必要的属性和值,并保持这些 cookie 在同一个网站或会话中的一致性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值