具有独立分区状态的 Cookie(CHIPS)

最新推荐文章于 2024-12-21 22:58:41 发布
最新推荐文章于 2024-12-21 22:58:41 发布
阅读量959 收藏 11
点赞数 22
分类专栏: 基础知识 文章标签: web安全 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46344990/article/details/143321516
版权

一、Partitioned属性

    Parttitioned属性在2023年中期被引入主流浏览器。 

 允许开发人员选择将 cookie 放入分区存储中,每个顶级站点都有一个单独的 cookie 存储空间。

🎈通常情况下:

    1. 一个用户访问 https://site-a.example,该站点嵌入了 https://3rd-party.example 的内容。https://3rd-party.example 在用户设备上设置了 cookie。

    2.该用户访问 https://site-b.example,该站点同样嵌入了 https://3rd-party.example 的内容。https://3rd-party.example 的新实例仍可以访问用户在上一页时设置的 cookie。  

🎈设置了Partitioned:

    Set-Cookie: __Host-example=34d8g; SameSite=None; Secure; Path=/; Partitioned;

    1.一个用户访问 https://site-a.example,该站点嵌入了 https://3rd-party.example 的内容,https://3rd-party.example 在用户设备上使用 Partitioned 设置了 cookie。意味着网站所有者选择使用 CHIPS。
    2.存储 cookie 的键现在为 {("https://site-a.example"), ("3rd-party.example")}。
    3.当用户访问 https://site-b.example,该站点也嵌入了 https://3rd-party.example,因为分区键不一致,所以新嵌入的实例不再能够访问前一页面设置的 cookie。

只需要在SetCookie的时候加入Partitioned即可,不需要指定任何域名,浏览器会自动识别。

即使samesite设置为None也不会在这种情况下携带Cookie

二、示例

如果在不嵌入的情况下通过导航栏访问,设置了Partitioned会是什么情况呢?

🎈未设置Partitioned的网站A:

🎈访问网站A的/set-cookie路由模拟登录:

    可以看到Cookie被设置,并且Partition Key Site为空

🎈恶意站点:

    模拟嵌套网站A

    iframe和fetch都会携带cookie

设置Partitioned并重复上述登录步骤

    可以看到Partition Key Site设置为当前导航栏站点的二级域名

🎈恶意站点:

    模拟嵌套网站A

可以发现当站点A的Cookie设置了Partition Key Site,其他任何二级域名不是Partition Key Site值的网站都无法通过任何嵌套的方式套网站A并携带A的Cookie,即使SameSite是None。

该属性我认为可以防止大部分情况的CSRF攻击,但是特殊情况除外比如A站点子域名收到了攻击,利用子域名对二级域名实现CSRF攻击。所以还是得靠Samesite

三、浏览器兼容性

linux驱动由浅入深系列:块设备驱动之一(高通eMMC分区实例)
Radia的专栏
06-09 1万+
linux驱动由浅入深系列:块设备驱动之一(高通eMMC分区实例)linux驱动由浅入深系列:块设备驱动之二(块设备驱动结构分析)块设备驱动的模型还是基本基于字符设备驱动的,可以简单理解为块设备仅仅增加了操作缓冲区,对用户请求顺序进行队列重拍等等。字符设备驱动的相关分析可以查看本博客相关的博文。 按照本博客的行文习惯,在具体分析块设备驱动代码之前,我们会从整体上了解一下研究对象的特征,以及用户空间...
linux 内核编译选项详解
12-09 3080
Code maturity level options  [代码成熟度选项]                 Prompt for development and/or incomplete code/drivers [使能尚在开发中或尚未完成的代码与驱动.除非你是测试人员或者开发者,否则请勿选择] General setup             Local version - ap
谷歌浏览器不能修改cookie的问题完美的解决方案
BUG制造者:图图 <p>这是一个P标签</p>
02-13 1万+
打开Chrome中访问地址chrome://flags/ 搜索 Partitioned cookies 将设置项改为Enabled(启用) 然后重启浏览器。 (因为新版本谷歌浏览器移除了Partitioned cookies需手动启用)
浏览器中Cookie的全面介绍
fengbin2005的专栏
03-07 718
Web前端开发时,我们经常会遇到一些浏览器存储相关的工具,例如CookieCookie的英文本意是曲奇,但是在Web中,它被用作浏览器中存储的数据。Cookie都是name=value的结构,name和value都为字符串。
chrome浏览器(高版本、低版本) cookie无法设置/刷新无法保存/爆红问题
xueqinglalala的博客
02-28 6933
一、新版chrome浏览器解决方案: 如果你的谷歌浏览器版本较新 在谷歌浏览器中搜索chrome://flags/ 搜索Partitioned cookies ,改为Enabled 重启浏览器后生效(如果重启浏览器不生效,建议重启电脑再试试) 二、旧版chrome浏览器解决方案: 在浏览器地址栏里输入:chrome://flags/ 搜索same-site 如图所示 将前两项 禁用 即可 设置后重启浏览器(如果重启浏览器不生效,建议重启电脑再试试) ...
谷歌浏览器不能手动修改cookies,cookie报红标红
m0_67392931的博客
03-02 884
问题:因为项目需要修改cookies的值去登录,某天更新了浏览器之后发现不能修改了,修改之后直接标红,不生效 解决: 1、在谷歌浏览器中搜索chrome://flags/ 2、在出现的页面搜索框中搜索SameSite,然后出现的SameSite by default cookies里面把default改为disabled,然后重启就好了 如果没生效,就是高版本移除了SameSite by default cookies,导致之前的方法不能使用,解决: 就在出现的页面搜索框中搜索Partitioned coo
深入解析 Web 应用中的 CHIPSPartitioned Cookie Attribute)
最新发布
m0_74823094的博客
12-21 689
CHIPS 提供了一种隐私友好的跨站点 Cookie 管理方式,通过分区存储解决了传统第三方 Cookie 的隐私问题。在 Web 应用中,开发者可以通过后端设置带有属性的 Cookie,并在前端正确传递和管理这些 Cookie,实现安全可靠的跨站功能。随着 Web 隐私标准的不断演进,CHIPS 将成为构建现代 Web 应用的关键工具之一。如果你的应用需要支持跨站场景,赶快尝试使用 CHIPS 优化隐私和功能吧!
android最佳分区方案,高通Android分区表详解
weixin_33334733的博客
05-25 1687
ModemPartition for modemFscCookie partition to store Modem File System’s cookies.SsdPartition for ssd diag module. stores the encrypted RSA keysSbl1Partition for secondary boot loaderSbl1bakBack up Pa...
Linux 操作系统原理介绍
jrl123的专栏
07-18 7913
Chapter 1 Hardware Basic(硬件基础知识) 一个操作系统必须和作为它的基础的硬件系统紧密配合。操作系统需要使用一些只有硬件才能提供的功能。为了完整的了解Linux,你需要了解底层硬件的基础知识。本章对于现代PC的硬件进行了。1975年1月“Popular Electronics”杂志封面上印出了Altair 8080的图片,一场革命开始了。Altair
Cookie-Manager:chrome扩展程序,用于管理浏览器cookie
05-26
Cookie经理 chrome扩展程序,用于手动管理浏览器cookie。 您可以使用此扩展程序做什么? 显示给定网址的Cookie 删除浏览器中存在的所有cookie 设置任何域的​​cookie。 它还在顶部显示浏览器中存在的Cookie总数。 在查看UI的屏幕截图 安装 手动安装此扩展的步骤: 使用git clone https://github.com/vinitshahdeo/Cookie-Manager克隆此存储库 转到chrome://extensions/然后选中右上角的“开发人员模式”框。 单击“ load unpacked按钮,然后选择此仓库的克隆文件夹以进行安装。 在这里,你去! 注意-图标是从。 有用的链接 阅读有关HTTP Cookies的信息。 您是否正在寻找可以一次性清除所有Cookie的产品? 检查一下! 去做 设置给定域的Coo
谷歌浏览器手动设置Cookie
qq_44023710的博客
07-07 5436
修改Chrome中的Cookie
软件测试-之cookie学习
自动化测试技术栈
01-27 189
一、什么是cookieCookie”是小量信息,由网络服务器发送出来以存储在网络浏览器上,从而下次这位独一无二的访客又回到该网络服务器时,可从该浏览器读回此信息。这是很有用的,让浏览器记住这位访客的特定信息,如上次访问的位置、花费的时间或用户首选项(如样式表)。 Cookie 是个存储在浏览器目录的文本文件,当浏览器运行时,存储在 RAM 中。一旦你从该网站或网络服务器退出,Cookie 也可存储在计算机的硬驱上。当访客结束其浏览器对话时,即终止的所有 CookieCookie是指网站用于辨别身份,
关于谷歌浏览器更新后无法手动修改cookie,修改cookie报红的解决方式
丶扁扁的糖是扁的 的博客
02-12 1764
1、打开谷歌浏览器访问 chrome://flags/ 2、 把 Partitioned cookies 项将设置项改为Enabled 3、重启浏览器
disabled什么意思中文翻译,js中disabled是什么意思
热门推荐
wenangou的博客
11-07 2万+
htaccess文件是apache服务器提供的配置文件方法,使用它可以实现针对指定目录的基础配置更改,被放置该文件的目录和其所有只目录都适用文件中的配置。垃圾回收在php中是自动化的。设计模式是一般的可复用的解决方案,解决软件设计中经常出现的问题。单例模式,确保一个类只有一个实例,并提供一个全局访问点。魔术方法是所有类的实例可以使用的方法。魔术方法已””开头。目前有以下魔术方法: __construct() __destruct() __set() ,在给不可访问属性赋值时,__set() 会被调用。
Cookie
Yu的博客
10-18 461
1Cookie概述   1.1 什么叫Cookie Cookie翻译成中文是小甜点,小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当下一次再访问服务器时把Cookie再发送给服务器。            Cookie是由服务器创建,然后通过响应发
多账号同时登录,实现cookie隔离
qq_50570718的博客
06-29 1800
在项目开发过程中用到了多账号保持登录状态,可以来回切换,并且保留一段时间不掉线的要求,试了一些方法,最后通过[electron](https://www.electronjs.org/zh/docs/latest/tutorial/quick-start)自带的隔离实现的。因为公司保密要求,这里只做简单的内容分享,我把代码简单描述下:
【新版本Chrome 98版本无法修改cookie解决方法】
m0_67394002的博客
03-09 362
这是我的浏览器版本 方法一:浏览器输入chrome://flags/,搜索Partitioned cookies,将默认值改成Enabled即可。 方法二:使用插件EditThisCookie去修改,还没具体试过,待研究。 注意发帖日期,太久可能面临方法失效。 ...
Partitioned index & Partitioning index
Alvin的学习笔记
11-24 1367
一句话解释,Partitioned index是指这个index是Partition的;Partitioning index是指这个index所在的column,正是这个Table的partition key(Table以按照这个column进行Partition)。下面这三种index是蛮绕人的,理解不了可以看Example。Partitioned,nonpartitio
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Oxo Security

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值