Cookie 的 SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。
SameSite 属性值可以有下面三种值:
- Strict 仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致。
- Lax 允许部分第三方请求携带 Cookie
- None 无论是否跨站都会发送 Cookie
之前默认是 None,Chrome80 后默认是 Lax。
跨域和跨站
跨域
跨域对应的是同域,同域即是浏览器的同源策略,这里不单单是指相同域名,域名、协议、端口号必须完全一致,才属于同源。
跨域主要是针对请求的。如果跨域,浏览器会在控制台提示类似的Error。
跨站
跨站对应的是同站,也可以称呼叫做第一方(同站)或者第三方(跨站)。同源策略作为浏览器的安全基石,其「同源」判断是比较严格的。相对而言,Cookie中的「同站」判断就比较宽松:只要两个 URL 的 eTLD+1 相同即可,不需要考虑协议和端口。其中,eTLD 表示有效顶级域名,例如,.com、.http://co.uk、.http://github.io 等。eTLD+1 则表示,有效顶级域名+二级域名,例如 taobao.com 等。
Public Suffix List
假设这样的情况:
1. a.jzplp.com与b.jzplp.com 实际属于同站
2. jzplp.com.cn与other.com.cn 实际属于跨站
3. jzplp.github.io与other.github.io 实际属于跨站
可以看到,上面的三个域名格式是相同的,都使用了两个点来分隔。 第一个属于同站。看第二个例子,com.cn是我们国家颁布的二级域名并不是指的某一个网站。显然这种域名后缀,并不能认为是同站。除了我国,还有其他国家和组织也会公布这种二级甚至更高级的域名。再看第三个例子,是Github提供的网站域名。使用github.io后缀的网站,显然也不能认为是同站。
因此,仅仅通过网址格式匹配,是无法判断是否同站的。因此,浏览器会维护一个列表:Public Suffix List。列表里面记录了这些需要特殊匹配的域名后缀,比如上面提到的com.cn与github.io等等,这个叫做有效顶级域名,eTLD。在遇到一个域名时,会首先匹配列表中的后缀,再把eTLD+1个字段相同表示为同站,不同表示为非同站。
例如 列表中的域名后缀为com.cn,那么eTLD+1个字段表示为jzplp.com.cn。那么a.jzplp.com.cn与b.jzplp.com.cn属于同站, jzplp.com.cn与other.com.cn属于跨站。
Public Suffix List列表的内容。这个列表会随着浏览器的更新而更新。
经实测,协议不同也会跨站。我是在 http 网页内用 iframe 嵌套 https 网页, 2个网页的 eTLD+1 是相同的。iframe 里的第三方网页,登录时设置 cookie 失败,接下去的请求也没有发送 cookie。
跨站一定跨域,跨域不一定跨站。
改变
接下来看下从 None 改成 Lax 到底影响了哪些地方的 Cookies 的发送?直接来一个图表:
从上图可以看出,对大部分 web 应用而言,Post 表单,iframe,AJAX,Image 这四种情况从以前的跨站会发送三方 Cookie,变成了不发送。
- Post表单:应该的,学 CSRF 总会举表单的例子。
- iframe:iframe 嵌入的 web 应用有很多是跨站的,都会受到影响。
- AJAX:可能会影响部分前端取值的行为和结果。
- Image:图片一般放 CDN,大部分情况不需要 Cookie,故影响有限。但如果引用了需要鉴权的图片,可能会受到影响。
除了这些还有 script 的方式,这种方式也不会发送 Cookie。
解决
解决方案就是设置 SameSite 为 none。
不过也会有两点要注意的地方:
- HTTP 接口不支持 SameSite=none。
如果你想加 SameSite=none 属性,那么该 Cookie 就必须同时加上 Secure 属性,表示只有在 HTTPS 协议下该 Cookie 才会被发送。
服务端和js都可以这么设置。 - 需要 UA 检测,部分浏览器不能加 SameSite=none。
IOS 12 的 Safari 以及老版本的一些 Chrome 会把 SameSite=none 识别成 SameSite=Strict,所以服务端必须在下发 Set-Cookie 响应头时进行 User-Agent 检测,对这些浏览器不下发 SameSite=none 属性
1888
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
