浏览器cookie中SameSite的理解

最新推荐文章于 2024-06-12 10:03:57 发布
最新推荐文章于 2024-06-12 10:03:57 发布
阅读量5.4k 收藏 10
点赞数 3
分类专栏: 浏览器 文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39217871/article/details/105428200
版权

浏览器cookie中的SameSite的理解

浏览器中的cookie信息,可以用于保存用户登录某个站点的信息保存,保持其用户验证的状态。但是cookie又是每次随着请求会自动发送到服务器去的,这就给了其他站点发起CSRF攻击和用户追踪的机会。
于是就有了cookie的SameSite属性,用于限制第三方网站的cookie发送机制,具体如下:

1. Strict

最严格的模式,完全禁止跨站点请求时携带cookie,设置为strict之后,跨站行为都不会再携带cookie。

Set-Cookie: name=value; SameSite=Strict;

2.Lax

此模式相对strict模式会宽松一点儿,允许导航到三方网站时携带cookie,即a标签跳转,form表单的get提交,以及link标签的prerender。

Set-Cookie: name=value; SameSite=Lax;

请求方式与是否携带cookie详情请见下表:

请求方式示例常规情况Lax模式
链接<a href="..." ></a>发送发送
预加载<link rel="prerender" href="..." />发送发送
form表单 get<form action="..." method="get"></form>发送发送
form表单 post<form action="..." method="post"></form>发送不发送
iframe<iframe src="..."></iframe>发送不发送
ajaxaxios.get('...')发送不发送
image<img src="..." />发送不发送
script<script src="..."></script>发送不发送

3.None

使用None显示的关闭SameSite模式控制,但是需要注意的是还需要加上secure,即cookie只会在HTTPS中发送,如果只是设置了SameSite=None是没有效果的。

Set-Cookie: name=value; SameSite=None; Secure;
辛巴德2018
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
浅谈cookie的SameSite属性
weixin_47450807的博客
03-03 9174
今天看了一道面试题,关于cookie的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
Spring项目集成Redis,序列化方式改为Jackson2JsonRedisSerializer
Dream_grg的博客
09-27 8988
SpringMVC项目通过Maven进行集成Redis过程,使用配置文件进行设置时遇到的坑。 1.添加Redis依赖      通常,在集成Redis时,通过Maven是比较简单进行整合的,只需要导入相应的redis依赖即可,如下图,现导入Redis所需的依赖(注:因本文所介绍的是改redis序列化方式由GenericJackson2RedisSerializer改为Jackson2Json...
Cookie 的 SameSite 属性
日积月累的博客
11-22 6297
2 月份发布的 Chrome 80 版本默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
理解前端Cookie的SameSite属性
最新发布
Keep trying, keep going
06-12 271
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求。属性可以有效地防止CSRF攻击,因为在CSRF攻击,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
【vue】跨域警告“此Set-Cookie标头未指定‘SameSite“届性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。”
九琼的博客
04-01 5980
此Set-Cookie标头未指定’SameSite"届性,它默认为’SameSite=Lax,"并被阻止,因为它来自跨站点响应,而不是对顶级导航的响应。必须为此SetCookie设置"SameSite=None“才能实现跨站点使用。不说了,这个困扰了我两天的问题,找了个大佬半分钟给我改好了。改完之后关闭项目,重新npm run dev一下,就好了。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
lift-samesite-cookie-workaround
04-06
SameSite属性允许开发者设置Cookie的行为,防止在跨站请求发送该Cookie。它有两种主要模式:`Strict`和`Lax`。`Strict`模式下,任何跨站请求都不会携带Cookie,而`Lax`模式则会在非导航的跨站请求(如表单提交)...
Go语言如何确保Cookie数据的安全传输
09-17
Cookie是一种小型文本文件,由服务器发送到用户的浏览器并在后续请求发送回服务器。它们主要用于维持会话状态、实现个性化设置和跟踪用户行为。在Go,`http.Cookie`结构体用于表示Cookie,包括`Name`(名称)、`...
开发浏览器
01-16
开发者需要实现安全策略,如同源策略、Content Security Policy(CSP)以及最新的 SameSite Cookie 设置。 5. **性能优化**:现代浏览器需要快速加载和渲染页面,这就涉及到对 JavaScript、CSS 和图片等资源的高效...
cookie相关PDF文档
03-10
SameSite属性则控制Cookie是否在跨站请求发送,有助于防止CSRF(跨站请求伪造)攻击。 9. **性能影响**:过多的Cookie会增加网络传输的负担,影响页面加载速度。因此,明智地使用和管理Cookie对优化网站性能至关...
django框架之cookie/session的使用示例(小结)
09-20
它由服务器设置并发送到浏览器浏览器在后续请求自动附带相关的cookie信息回服务器。Cookie常用于保持登录状态、记录用户偏好等,实现跨请求的数据共享。 2. Cookie的使用接口 在Django,可以通过以下三种方式...
set-cookie的SameSite属性
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
Set-Cookie: ...;SameSite=strict
xuehao1997的博客
06-04 355
cookie设置
关于解决Chrome新版本cookie跨域携带和samesite的问题处理
热门推荐
白起的博客
03-18 3万+
代码如下: @Configuration public class SpringSessionConfig { @Bean public CookieSerializer httpSessionIdResolver() { DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer(); cookieSe...
Springboot JSESSIONID 设置 SameSite 属性为 NONE
星光的博客
06-02 5701
application.yml server: servlet: session: cookie: secure: true
SameSite Cookie,防止 CSRF 攻击
weixin_33851429的博客
07-12 892
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
js设置cookie的SameSite
06-13
在 JavaScript 设置 cookie 的 SameSite 属性,可以通过在设置 cookie 时添加 `SameSite` 属性来实现。例如,如果要设置 SameSite 属性为 Lax,可以使用以下代码: ```javascript document.cookie = "myCookie=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值