理解前端Cookie中的SameSite属性

最新推荐文章于 2024-08-21 09:45:09 发布
最新推荐文章于 2024-08-21 09:45:09 发布
阅读量739 收藏 2
点赞数 4
分类专栏: 前端 文章标签: 前端 Cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lalala8866/article/details/139618633
版权

SameSite属性是一个相对较新的Cookie属性,它可以帮助防止跨站请求伪造(CSRF)攻击。SameSite属性用于声明Cookie是否可以在跨站点情况下发送。

SameSite属性有三个可选值:StrictLaxNone

  • SameSite=Strict:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie不会被发送。

  • SameSite=Lax:在跨站点的情况下,只有对GET请求才会发送Cookie,而对于POST请求等非安全的HTTP方法则不会发送。这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。

  • SameSite=None:Cookie将在所有上下文中被发送,无论是跨站点还是同站点。这意味着,无论请求来自哪个网站,Cookie都会被包含在请求中。注意,如果设置SameSite=None,则必须同时设置Secure,使得Cookie只能通过HTTPS发送。

SameSite属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。通过使用SameSite属性,可以限制在这些情况下Cookie的发送,从而防止攻击者利用用户的Cookie。

程序员大侠
关注
专栏目录
SameSite cookie 理解与设置
隔壁老瓦的专栏
08-15 1674
此功能仅在(HTTPS)、部分或所有可用。HTTP 响应标头的SameSite属性允许您声明您的 cookie 是否应限制为或同一站点上下文。与 CookieSameSiteSameSite如果未指定cookie 发送行为是. 以前的默认设置是为所有请求发送 cookie。带有必须的 Cookie现在还指定Secure属性(它们需要安全上下文/HTTPS)。如果使用不同的方案 (或)发送来自同一域的 Cookie,则不再将其视为来自同一站点。本文记录了新标准。...
Cookie的SameSite标示是什么
墨痕诉清风的博客
08-30 253
SameSiteCookie的一个属性用来限制第三方Cookie,从而减少安全风险。Chrome 51 开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。Web 前端安全,从影响面看排名前两位的就是XSS 和 CSRF,其基本原理都是攻破了浏览器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。
浅谈cookie的SameSite属性
weixin_47450807的博客
03-03 9350
今天看了一道面试题,关于cookie的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
spring低版本设置cookie的samesite属性
最新发布
qq_43393995的博客
08-21 503
None属性:chrome默认将Lax设置为默认值,此时我们可以更改samesite的值,将其设置为none,此时必须同时设置Secure属性Cookie 只能通过 HTTPS 协议发送),否则无效。网上找了很多资源,由于jar版本比较低,没有samesite字段,尝试过继承cookie重写类,修改tomcat配置等方式,均不可用;Lax:该属性strict属性要宽松一些,其允许我们在跨站使用get请求时(不准确,比如ajaxget)携带cookie属性,可用于防止 CSRF 攻击和用户追踪。
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
SameSite Cookie,防止 CSRF 攻击
weixin_33851429的博客
07-12 921
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
Cookie - SameSite
Moon Star
07-27 346
Domain / Path 作用域 Domain是限制域名,设置为www.lilnong.top的话,cors.lilnong.top就获取不到了。Path是限制路径,如果设置为/cors的话,/api下的请求就不会携带该cookie。 Expires / Max-Age 有效性 Expires是当前Cookie的过期时间,默认是会话级别。 Max-Age是当前Cookie经过多少秒失效。 大于 0 是计算经过多少秒失效 等于 0 是会话级别,关闭浏览器就失效 小...
Cookie Samesite简析
の博客
05-16 765
Cookie Samesite简析
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 2042
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie
腾讯三面:Cookie的SameSite了解吧,那SameParty呢?
frontend_nian的博客
04-16 1887
才弄清cookie的same-site,又出来一个same-party!
Cookie 的 SameSite 属性
laker的博客
02-08 1087
文章目录1 Strict2 Lax3 None Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格
【译】Cookie的SameSite属性
weixin_33692284的博客
03-14 7571
翻译自:medium.com/compass-sec… 17年的文章,是对 CSRF 很好的防御手段 理解了这个属性也能避免很多开发上的麻烦,例如 iFrame Cookie 处理 介绍 过去十年,我教我的学生五个 cookie 属性:“path, domain, expire, HttpOnly, Secure”。但是现在我们有了一个新属性 -SameSite。你知道新引入的 Sam...
浏览器cookieSameSite理解
qq_39217871的博客
04-10 5567
浏览器cookie的SameSite理解 浏览器cookie信息,可以用于保存用户登录某个站点的信息保存,保持其用户验证的状态。但是cookie又是每次随着请求会自动发送到服务器去的,这就给了其他站点发起CSRF攻击和用户追踪的机会。 于是就有了cookie的SameSite属性,用于限制第三方网站的cookie发送机制,具体如下: 1. Strict 最严格的模式,完全禁止跨站点请求时携...
Cookie-SameSite属性 前端请求不带cookie的问题解决方案
一岁就可帅的博客
06-16 1386
最近遇到了前端请求后端不带cookie的问题,请求时header里面就是没有cookie查看响应应该是这个问题SameSite是一个cookie属性,用于控制浏览器是否在跨站点请求发送cookie
cookie的sameSite
weixin_46773434的博客
11-16 461
项目场景: # 项目场景: 由于我的移动端项目是从微信那边获取的openId,在通过拿到openId获取人员信息,拿到openId只能在微信浏览器打开,这就给我们调试造成了很大的困扰,不过我们PC端有登录接口,通过用户名密码可以拿到用户的信息,然后拿到cookie,在上移动端,通过cookie直接在我们自己服务上拿到信息,这就省略了从微信拿openId的步骤。 问题描述: 跨域cookie没种进去,请求也没携带cookie,如图 原因分析: 这里我们可以看到,响应头里返回了cookie 种在根路径
SameSite Cookie
qq_33903215的博客
03-03 607
简介 Cookies是可用于向网站添加持久状态的方法之一。多年来,他们的能力不断发展壮大,但使平台遗留了一些有问题的遗留问题。为了解决这个问题,浏览器(包括Chrome,Firefox和Edge)正在更改其行为,以强制实施更多保留隐私的默认设置。 每个Cookie都是一key=value对,以及许多控制何时和何处使用该Cookie属性。您可能已经使用这些属性来设置诸如到期日期之类的内容,或者指示cookie仅应通过HTTPS发送。服务器通过Set-Cookie在响应发送适当命名的标头来设置Cookie
Cookie之SameSite属性
找到Web
08-27 1466
Cookie之SameSite属性 Chrome80之后更新了cookie的携带机制,把原来的SameSite属性,由None改成了Lax,这就导致了一些需要使用到第三方cookie的应用产生了异常。如果你这段时间有经常关注控制台的话,可能会发现一些warning: Cookie的SameStie属性用来限制第三方Cookie,从而减少安全风险(防止CSRF攻击)和用户追踪。 具体如何使用cookie来防止CSRF攻击,可以参考使用站点Cookie属性防止CSRF攻击,里面基础地介绍了相关的知识。 S
nginx配置 设置cookie的samesite属性
04-25
好的,对于这个问题,可以在nginx配置添加以下代码: ``` location / { add_header Set-Cookie "name=value; path=/; HttpOnly; SameSite=strict"; } ``` 其,Set-Cookie设置的是要设置的cookie名称和值;path指定cookie在哪个路径下可用;HttpOnly表示cookie只能通过http/https传输,不能通过JavaScript访问;SameSite指定cookie在什么情况下可以发送,有三个选项:Strict表示只能在同源请求时发送,Lax表示除了GET请求之外的请求均可发送,None表示任何情况下都可以发送,但需要配合Secure属性使用。 注意,如果使用了SameSite属性,则必须同时设置Secure属性,以保证cookie只能在https安全连接传输。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值