samesite cookie防御CSRF漏洞

最新推荐文章于 2023-11-08 14:09:40 发布
最新推荐文章于 2023-11-08 14:09:40 发布
阅读量4.1k 收藏 8
点赞数 5
分类专栏: Web安全 文章标签: 安全 web开放 web安全 隐私 CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoren_xhf/article/details/104405375
版权

SameSite Cookie的解释

SameSite Cookie机制本意是为了减少网络请求包,设想下,b.com网站展示a.com下的图片,b站每向a请求一张图片,都会携带上a域下的cookie,而这些cookie对于请求来说毫无意义,无意中增加请求包大小

 

SameSite有三个属性Lax, Strict, None

Lax:b站上通过超链接访问a站,会携带a站cookie。b站通过img标签等跨越请求a站时,不会携带cookie,设置的cookie也不会起作用

Strict:b站上通过超链接访问a站,不会携带a站cookie。b站通过img标签等跨域请求a站时,不会携带cookie,设置的cookie也不会起作用

None:b站上通过超链接访问a站,会携带a站cookie。b站通过img标签等跨域请求a站时,会携带cookie,设置的cookie起作用

 

Firefox v83默认SameSite=None,SameSite=None时,还必须加上Secure属性cookie才会被浏览器接受

Chrome v87默认SameSite=Lax,该配置对CSRF有相当大的防御力

 

对CSRF漏洞的影响

1、get类型的csrf漏洞,原本可以通过img/script等标签完成攻击,但由于SameSite=Lax属性,攻击无法生效,只能通过访问超链接方式攻击

2、post类型的csrf漏洞,ajax可以完成content-type为application/x-www-form-urlencoded的csrf攻击,form表单(target=subiframe,隐藏iframe)也可以完成攻击。由于SameSite=Lax属性,只有通过form表单提交到新页面完成攻击

 

SameSite能不能抵御攻击?

1、浏览器SameSite默认属性并不能完全防止CSRF攻击,超链接访问、form表单提交到新页面等攻击方式依然有效

2、敏感业务可以设置cookie属性SameSite=Strict,防止来自站外攻击

 

参考

https://web.dev/samesite-cookies-explained/

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie/SameSite

 

=========更新==============

除了CSRF攻击,CORS漏洞也变得很鸡肋(本来Access-Control-Allow-Origin=any和Access-Control-Allow-Credentials=true可以轻松劫持用户会话)参考另一篇文章https://blog.csdn.net/haoren_xhf/article/details/80050311

深入浅出_balance
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRFsamesite浅析
杳若的博客
07-21 6069
Burp的学习之samesite
CSRF漏洞原理全家桶、面试法宝
YH,生活越来越好
04-27 849
CSRF(Cross-site request forgery)跨站请求伪造,是一种劫持用户身份,以用户名义进行非预期操作,通常发生在用户在访问恶意网站或收到恶意邮件后。攻击者通过一些方式诱使用户进入一个恶意网站,然后在该站点中插入一个链接或表单,该链接或表单通过用户的浏览器发出非预期的请求,伪造用户身份执行某种操作,如修改密码、转账、发布帖子等。CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。
网络安全之CSRF漏洞原理和实战,以及CSRF漏洞防护方法
Scalzdp的专栏
11-08 2654
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
SameSite Cookie,防止 CSRF 攻击
weixin_33851429的博客
07-12 892
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
如何防止csrf制跨站请求攻击(代码说明)
jingdianjiuchan的博客
03-19 1531
CSRF(Cross-Site Request Forgery)攻击,是一种利用用户已经登录的状态来伪造用户的请求,从而进行恶意操作的攻击方式。例如,攻击者可以利用CSRF攻击来修改用户的密码、发送垃圾邮件、进行支付等操作。为了防止CSRF攻击,需要采取一些措施来保护网站的安全性。
csrf 系列之Spring Security中的csrf攻击防护(SameSite属性)
console的博客
05-03 1864
防止CSRF攻击的一种新方法是在cookie上指定`SameSite`属性。服务器可以在设置cookie时指定SameSite属性,以表明当来自外部站点时不应该发送cookie
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一方”)使服务器断言特定的cookie只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。...
CSRF漏洞token防御介绍-01
09-15
4. 使用 Token 进行 CSRF 漏洞防御:最后,需要在服务器端验证 Token 是否正确,如果正确那么执行操作,不正确不执行操作。同时,在提交操作时,提交 Token 并进行验证。 Token 防御的优点是可以防御 CSRF 漏洞,...
CSRF漏洞防御-01
09-15
"CSRF漏洞防御-01" CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击。CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码...
55-55.渗透测试-CSRF漏洞防御.mp4
最新发布
05-10
55-55.渗透测试-CSRF漏洞防御.mp4
CSRF漏洞的靶场实验
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户已登录且浏览器保持会话状态的情况下,诱使用户执行非本意的操作。在“CSRF漏洞的靶场实验”中,我们将通过实际操作...
cookie sameSite 属性,防止CSRF
weixin_43273515的博客
06-19 672
转http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后来又访问了恶意网站malicious.com,上面有一个表单。 <form ac
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性。
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
Chrome 80 中 Iframe 跨域 CookieSamesite (用来防止CSRF攻击和用户追踪)
qq_44700839的博客
10-20 497
Chrome 80 中 Iframe 跨域 CookieSamesite (用来防止CSRF攻击和用户追踪) 遇到的问题: 新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 从 Chrome 51 开始,浏览器的 Cookie,新增加了一个 SameSite属性,用来防止 CSRF攻击和用户追踪。该设置当前默认是关闭的,但在 Chrome 80 之后,该功能默
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9174
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookieSameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
JavaScript cookie SameSite=Strict 防止CSRF请求伪造漏洞
qq_33646504的博客
11-03 779
这里写自定义目录标题 document.cookie = ‘SameSite=Strict’; 链接: https://github.com/GoogleChromeLabs/samesite-examples/blob/master/javascript.md. 图片: 带尺寸的图片: 居中的图片: 居中并且带尺寸的图片:
cookieCSRF防御
09-27
1. 使用SameSite属性:将cookieSameSite属性设置为Strict或Lax,可以限制跨站点请求的发送方式,从而减少CSRF的风险。Strict模式下,所有的跨站点请求都不会发送cookie;Lax模式下,只有第三方请求(例如通过链接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值