Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击和用户追踪)

最新推荐文章于 2023-05-24 14:11:19 发布
最新推荐文章于 2023-05-24 14:11:19 发布
阅读量496 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44700839/article/details/109154120
版权

Chrome 80 中 Iframe 跨域 Cookie 的 Samesite (用来防止CSRF攻击和用户追踪)

遇到的问题:

新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。

从 Chrome 51 开始,浏览器的 Cookie,新增加了一个 SameSite属性,用来防止 CSRF攻击和用户追踪。该设置当前默认是关闭的,但在 Chrome 80 之后,该功能默认已开启。所以当你无法使用某些网站第三方登录功能的时候,请查看一下是否受到了该设置的影响。

*对于使用者,快速解决方案:
1.方案1. 打开 Chrome
设置,将 chrome://flags/#same-site-by-default-cookies
禁用,然后重启浏览器。
2. 方案2. 使用低版本浏览器,可选择70版。

对于开发者,解决方案:

  1. 方案1. 将 SameSite
    属性值改为 None
    , 同时 将 secure
    属性设置为
    true
    。且需要将后端服务域名必须使用 https
    协议访问。
  2. 由于设置 SameSite = None
    ,有 SCRF
    风险,所以,最佳方案是用 token
    代替 Cookie
    方式作验证。

CSRF 攻击

CSRF攻击

SameSite 属性

SameSite

翘首自由的九零后
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站开发跨域iFrame嵌入之SameSite&CSRF
rav009的专栏
01-10 1581
简而言之,就是这种攻击手段利用了iframe或其他一些技术,是A域名的网站能访问B域名的session和cookie,进而甚至于能让A域名的网站利用session和cookie的信息伪装成用户向B域名发起请求。想象一下A域名是一个银行网站,那么B域名就能伪装成用户请求银行转账了。当SameSite等于Lax或Strict时,iframe的不同域名的页面不会被允许访问session。最近使用Flask开发了一个网站的应用,要实现在iframe嵌入一个来自不同域名的页面。
如何防止csrf制跨站请求攻击(代码说明)
jingdianjiuchan的博客
03-19 1515
CSRF(Cross-Site Request Forgery)攻击,是一种利用用户已经登录的状态来伪造用户的请求,从而进行恶意操作的攻击方式。例如,攻击者可以利用CSRF攻击来修改用户的密码、发送垃圾邮件、进行支付等操作。为了防止CSRF攻击,需要采取一些措施来保护网站的安全性。
SameSite Cookie防止 CSRF 攻击
weixin_33851429的博客
07-12 889
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
csrf验证问题 -- 不同域名下Iframe嵌套Cookie失效导致csrf验证失败
qq_43539962的博客
10-11 1984
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,主要用于防止CSRF攻击用户追踪cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险(防止CSRF)。在Chrome80之前默认None,在Chrome80之后,由于SameSite默认值是Lax。从上图可以看出,SameSite从None改成了Lax后,Form, Iframe, Ajax和Image跨站的请求受到的影响最大。
跨域 iframe 内嵌页面 JavaScript 写 cookie 失败解决方法
最新发布
jayccx的专栏
05-24 8374
iframe 跨域的场景下,无论是服务器,还是内嵌的页面,如果要写入 Cookie,都需要增加Secure;转载请注明出处。本文地址:跨域 iframe 内嵌页面 JavaScript 写 cookie 失败解决方法 - 前端路迹。
关于Iframe如何跨域访问Cookie和Session的解决方法
01-20
最近做登录系统的整合,其遇到的一个最关键的问题为...对于这样的一个需要,这里会遇到一个问题,为了能正常访问第三方系统的后台栏目,必需确保已经登录该系统,否则会提示用户登录,所以在点击这些菜单链接时,系统
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
首先你需要在httpd.conf文件开启mod_header模块  LoadModule headers_module modules/mod_headers.so 你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有...
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击用户追踪
绚烂的天空
12-13 717
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
cookie sameSite 属性防止CSRF
weixin_43273515的博客
06-19 669
转http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后来又访问了恶意网站malicious.com,上面有一个表单。 <form ac
samesite cookie防御CSRF漏洞
balance的博客
02-20 4097
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 https://textslashplain.com/2019/09/30/same-site-cookies-by-default/ 这个特性会导致: 1、web开发者需要重新考虑某些跨域读取数据功能 2、依靠third-party cookie的广告商(比如)可能行不通...
iframe如何发送请求_PHP代码审计笔记CSRF跨站请求伪造
weixin_39968801的博客
11-20 170
0x01 前言  CSRF(Cross-site request forgery)跨站请求伪造。攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件,发私信,添加管理用户,甚至于交易转账等。这就利用了web用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能...
chorme浏览器iframecookie跨域共享问题解决方案
DHR的博客
01-06 2111
1.禁用浏览器samsite属性/或降低版本(仅chorme存在) 2.保证同源策略cookie共享(保证ip或域名一直) 3.设置response.setHeader(“Set-Cookie”, “HttpOnly;Secure;SameSite=None”),需设置https证书 4.不使用cookie共享会话,使用token实现 ...
谷歌8.0新版iframe嵌套跨域请求cookie丢失问题
红尘炼炼心的博客
08-26 4598
谷歌8.0新版iframe嵌套跨域请求cookie丢失问题。 浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击用户追踪。该设置80版本默认是关闭的,但在Chrome 80之后,该功能默认已开启。 不再支持iframe 携带cookie 访问第三方站点
Chrome 80及以上版本 Iframe 跨域 Cookie 的 Samesite 问题
xzx66666的博客
10-20 1666
Chrome 80及以上版本 Iframe 跨域 Cookie 的 Samesite 问题  新项目要嵌入之前的一个项目,而且该被嵌入项目之前提供给第三方使用,他们也是用的iframe。以前都是好的,但是现在发现要是iframe的地址和父级的地址不同源,项目登录时无法设置cookie。 一开始以为后端出问题了,后来换火狐、ie edge 都是可以的,并且其他人的Chrome也有可以用的。 并且接口设置cookie时提示:“this set-cookie didnot specify a "same
如何防止CSRF攻击
qq_40663520的博客
04-18 3722
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
点击按钮弹出iframe_WEB安全(四) :CSRF与点击劫持
weixin_39531594的博客
12-10 789
跨站点请求伪造 CSRF是跨站点请求伪造,它的请求有两个关键点,跨站点的请求与请求是伪造的, 从字面上看,跨站点的请求来源应该是其他站点,比如,目标网站接收到来源网站的恶意操作,但是,只要是恶意操作,即使是同源,也可以算作请求伪造,因为此操作并不是用户的意愿场景 当有两个网站A和B的时候,目标A网站有一个删除文章的功能,当我们请求的url为www.a.com/blog/del?id=...
148.CSRF攻击原理分析、防御、装饰器、间件、IFrame以及js实现csrf攻击
zjy123078_zjy的博客
02-22 645
CSRF攻击概述: CSRF(Cross Site Request Forgery 跨站域请求伪造)是一种网站攻击的方式,它在2007年曾被列为互联网20大安全隐患之一。其他的安全隐患,比如SQL脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF还是很陌生的,Gmail在2007年底也存在csrf漏洞,从而被黑客攻击而使Gmail...
vue项目嵌入iframe后访问后端报错
qq_48329942的博客
07-04 2261
项目场景: 最近的项目,开发的项目需要使用到另外的一个即时通讯im项目,当时使用ifram标签进行嵌入,跳转失败 问题描述: 在使用ifram进行嵌入后,刷新页面,ifram的地址会直接覆盖掉父类地址进行网页跳转 原因分析: 在嵌入的src地址为访问后端的jsp地址,jsp首行会判断windows是否为父类窗口,并进行窗口跳转,需要了解如下知识: 在应用有frameset或者iframe的页面时,parent是父窗口,top是最顶级父窗口(有的窗口套了好几层frameset或者iframe),s
iframe跨域cookie丢失 csdn
04-29
iframe跨域是指父级网页与子级网页不在同一域名下,当iframe子级网页需要获取或设置cookie时,由于浏览器的同源策略限制,无法直接跨域获取或设置cookie。因此,iframe子级网页cookie会丢失。 为了解决这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值