浏览器Cookie&SameSite

最新推荐文章于 2024-06-16 16:17:37 发布
最新推荐文章于 2024-06-16 16:17:37 发布
阅读量1.4k 收藏 4
点赞数 3
分类专栏: 浏览器 文章标签: html javascript chrome edge safari
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tonggui77/article/details/117435685
版权

 

Cookie基础

  1. why

    1. HTTP 1.x是无状态的协议
      无状态:

      有状态:

  2. what

    1. 浏览器在浏览网站时存储在用户计算机上的一小段数据。

    2. 被设计为网站记住状态信息或记录用户的浏览活动

    3. 记住用户先前在表单字段中输入的信息

  3. when

    1. 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)

    2. 个性化设置(如用户自定义设置、主题等)

    3. 浏览器行为跟踪(如跟踪分析用户行为等)

  4. where

    1. 开发者工具--->Application--->Storage存储树--->Cookie

    2. console : document.cookie。

  5. how---Cookie工作流程

    1. Set-Cookie

    2. 浏览器端

      浏览器会把cookie放到请求头一起提交给服务器,cookie携带了会话ID信息。

      服务器指定 Cookie 后,浏览器的每次请求都会携带 Cookie 数据(在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上)

      服务器会根据cookie辨认用户:由于cookie带了会话的ID信息,可以通过cookie找到对应会话,通过判断会话来判断用户状态。

    3. 操作cookie

      1. 前端对cookie进行操作

      2. 后端服务器操作,可以直接在response上面进行操作

    4. Cookie属性

      "key=name; expires=Sat, 28 May 2021 12:26:00 GMT; domain=.sankuai.com; path=/; secure; HttpOnly"

      1. Expires/Max-Age---设置Cookie的生存期

        1. Expires=<date> :cookie 的最长有效时间,是绝对时间点

        2. Max-Age=<non-zero-digit> 在 cookie 失效之前需要经过的秒数,是相对时间。

        3. 两种存储类型的Cookie:会话性与持久性,缺省时,为会话性Cookie。

        4. Expires 和Max-Age均存在时,Max-Age 优先级更高

      2. Domain---标识作用域

        1. Domain=<domain-value> :指定 cookie 可以送达的主机名。

        2. 设置domain的值,前面带点和不带点的区别:

          1. 带点:任何subdomain都可以访问,包括父domain

          2. 不带点:只有完全一样的域名才能访问,subdomain不能访问(但在IE下比较特殊,它支持subdomain访问)

        3. domain向上通配:一个页面可以为本域和任何父域设置cookie

          对cookie读写时,以“通配”的方式判断Domain是否有效

          eg:

          1. 服务器写入Cookie时,当页面为https://about.meituan.com, cookie为X

            Set-cookie:

            user1=aaa;domain=.meituan.com,path=/; —>domain匹配

            user2=bbb;domain= about.meituan.com,path=/; —>domain匹配

            user3=ccc;domain=.about.meituan.com,path=/; —>domain匹配

            user4=ddd;domain=other.meituan.com,path=/; —>domain不匹配

          2. 读取:访问:https://about.meituan.com, Cookie: user1=aaa;user2=bbb;user3=ccc;

            访问:https://xm.meituan.com, Cookie: user1=aaa;

        4. 若指定了域名,则相当于各个子域名也包含在内。

        5. 若没有指定,则默认值为当前文档访问地址中的主机部分(但是不包含子域名)。

      3. path---标识作用域

        定义了Web站点上可以访问该Cookie的目录

        1. Path=<path-value> 指定一个URL路径,这个路径必须出现在要请求的资源的路径中才可以发送 Cookie 首部。属性默认是'/',这个值匹配的是web的路由

        2. Path向下通配:path为/hello:

          Set-cookie:

          domain=about.meituan.com,path=/; —>path不匹配

          domain=about.meituan.com,path=/hello; —>path匹配

          domain=about.meituan.com,path=/hello/world/; —>path匹配

      4. Secure---限制访问Cookie

        指定是否使用HTTPS安全协议发送Cookie。标记为 Secure 的 Cookie 只应通过被 HTTPS 协议加密过的请求发送给服务端。

      5. HTTPOnly---限制访问Cookie

        可防止客户端脚本通过document.cookie属性访问Cookie,此类 Cookie 仅作用于服务器,有助于保护Cookie不被XSS窃取或篡改。

      6. SameSite ---标识作用域

        Cookie 允许服务器要求某个 cookie 在跨站请求时不会被发送,从而可以阻止CSRF。它是相对较新的一个字段,所有主流浏览器都已经得到支持了。

Cookie安全性

  1. Cookie带来的安全问题

    1. Cookie篡改

    2. Cookie 泄漏(欺骗)

    3. Cookie 注入

    4. CSRF

  2. Cookie安全防范

    1. 设置Cookie HttpOnly

      可以防止js脚本读取cookie信息,有效的防止XSS攻击。

    2. 设置Cookie Secure

      将cookie的Secure属性设置为true,即cookie只能使用https协议发送给服务器,而https比http更加安全。

    3. 设置Cookie有效期不要过长,合适即可

    4. 设置复杂的cookie,加密cookie

      (1)cookie的key使用uuid,随机生成;
      (2)cookie的value可以使用复杂组合,比如:用户名+当前时间+cookie有效时间+随机数。

    5. session和cookie同时使用,防止在Cookies 中存放敏感信息

      sessionId虽然放在cookie中,但是相对的session更安全,可以将相对重要的信息存入session。

    6. SameSite,防止CSRF攻击

SameSite Cookies

  1. 引入 SameSite 限制的原因

    使用SameSite属性明确声明Cookie的使用情况,SameSite属性(在RFC6265bis中定义)的引入使您可以声明cookie是否应限于第一方或同一站点上下文。

    SameSite Cookie允许服务器要求某个cookie在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。

    • Cookie 被用来做用户追踪,带来用户隐私问题

    • 美国部分州颁布了法律法规,要求网站在设置和使用 Cookie 前需要获得用户同意

    • Cookie 存在 CSRF 安全漏洞

  2. 同站(same-site)/跨站(cross-site)

    同站(same-site)/跨站(cross-site)和第一方/第三方是等价的,同站(same-site)只要两个URL的eTLD+1相同即可,不需要考虑协议和端口;

    eTLD表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如,.com、.com.cn、.github.io 等(顶级域名TLD是被点分开的最后一段,而eTLD则是根据实际情况人工维护的)。

    eTLD+1则表示,有效顶级域名的下一级域名,那么同一站点就是指顶级域名后缀加上后缀之前的那一部分域名。例如e.shangou.sankuai.com 的 eTLD+1 是 sankuai.com,ones.sankuai.com的 eTLD+1也是 sankuai.com,同站。

    e.g.:

    1. e.shangou.sankuai.com 的 eTLD+1 是 sankuai.com,ones.sankuai.com的 eTLD+1也是 sankuai.com,不同源但同站。

    2. www.meituan.com和www.sankuai.com是跨站

    3. a.github.io和b.github.io是跨站

  3. CSRF攻击与第三方

    1. CSRF攻击与第三方关系

      通常CSRF攻击都是从第三方站点发起的,要防止CSRF攻击,最好能实现从第三方站点发送请求时禁止Cookie的发送。

      浏览器通过不同来源发送HTTP请求时,有如下区别:

      1. 第三方站点发起的请求,需要浏览器禁止发送某些关键Cookie数据到服务器;

      2. 同一个站点发起的请求,需要保证Cookie数据正常发送。

    2. 第三方cookie:

      https://maoyan.com/?utm_source=meituanweb

      1. 并不是所有 Cookie 都是 .maoyan.com 这个域下的,里面还有很多其他域下的 Cookie ,这些所有非当前域下的 Cookie 都属于第三方 Cookie

      2. .maoyan.com 这个域下的 Cookie 都属于第一方 Cookie

      3. 三方cookie实例:

        1. 登陆https://bj.meituan.com/后跳转到https://maoyan.com/?utm_source=meituanweb,已经不需要再登录了,会自动登录

        2. 搜索引擎或视频网站上搜索到一些东西,然后打开购物网站就可以收到各种你兴趣的相关推荐,这已经是大众习以为常的事情了,各大购物网站、广告商,会通过第三方 Cookie 收集你的年龄、性别、浏览历史等从而判断你的兴趣喜好,然后带给你精准的信息推荐。这是因为某些网站悄悄的通过三方 Cookie 把你的个人信息运送到了他们那边进行数据挖掘、分析以及用户行为画像,我们的每一次搜索、每一次购买、都会让它变的更精准,最后收到精准的推荐。

    3. 禁用第三方 Cookie

      Safari、微软、Mozilla已禁用了第三方 Cookie,Chrome也决定将完全禁用第三方 Cookie。由于目前许多网站都依赖三方cookie,在完全不能写入三方 Cookie 的情况下,将会对前端的数据读写方式,甚至是整个广告行业带来巨大影响。

      Safari完全禁用三方cookie:https://maoyan.com/?utm_source=meituanweb只有一方cookie

       

  4. SameSite属性值

    特点

    备注

    Strict

    Cookies只会在第一方上下文中发送,即禁止第三方网站携带Cookie,跨站点时,任何情况下都不会发送 Cookie。

    • 浏览器将只在访问相同站点时发送 cookie,从而可以阻止CSRF。(CSRF攻击之所以能够成功,是因为该请求中所有的用户验证信息都存在cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。要防止CSRF,关键在于在请求中放入攻击者所不能伪造的信息,并且该信息不存在于cookie之中。)

    Lax

    Cookies允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送,这是浏览器中的默认值。Chrome自80版本开始Lax为默认值

    请求类型

    例子

    Lax

    链接

    <a href="..."></a>

    发送 Cookie

    预加载

    <link rel="prerender" href="..."/>

    发送 Cookie

    GET 表单

    <form method="GET" action="...">

    发送 Cookie

    POST 表单

    <form method="POST" action="...">

    不发送

    iframe

    <iframe src="..."></iframe>

    不发送

    AJAX

    $.get("...")

    不发送

    Image

    <img src="...">

    不发送

    Same-site cookies 将会为一些跨站子请求保留,如图片加载或者 frames 的调用,但只有当用户从外部站点导航到URL时才会发送。如 link 链接

    None

    Cookie将在所有上下文中发送,即允许跨域发送。

    • sameSite=None需要设置secure=true;针对chrome80版本之后的需要在请求中设置sameSite=None,secure,这样iframe才能获取cookie

    SameSite属性得到了广泛支持,但不幸的是,它尚未被开发人员广泛采用。开放的默认发送Cookie到处意味着所有用例都可以使用,但使用户容易受到CSRF和意外信息泄漏的影响。

    为了鼓励开发人员陈述其意图并为用户提供更安全的体验,IETF提案“ 渐进式更好的Cookies” 提出了两个关键更改:

    Chrome自80版本起就实现了这些行为。

    • 没有SameSite属性的Cookies,将被视为SameSite=Lax。
    • 当设置Cookie的SameSite=None也必须指定Secure。

  5. SameSite默认为Lax的影响

    1. 浏览器中所有的跨站的传统post表单请求、iframe、Ajax 请求和图片都将无法携带 cookie。

      e.g.:

      1. 站点的访问地址是 xxx.meituan.com,而业务接口是 e.shangou.com,这就构成了跨站,接口请求因为无法携带 cookie 会直接挂掉。

      2. 若页面是以 iframe 形式嵌入在其他系统中,而父级 html 与 iframe 页面是跨站的,iframe 页面的请求也会视为跨站状态而无法携带cookie。

    2. 关于sameSite的说明

      1. 出现以下情况需更新其SDK版本

        1. 您的站点被第三方站点iframe的src所使用---通过iframe方式嵌入其他系统

        2. 您的应用中有post form表单提交到第三方站点。

      2. 解决

        1. 更新samesite属性,将对应cookie中samesite属性变成了none

        2. 更改浏览器SameSite:

          1. 在地址栏输入:chrome://flags/

          2. command+f搜索samesite,三个栏目的右侧分别选择“disabled”;在 disabled 状态,chrome 会将未设置 SameSite 属性的 cookie 视为 SameSite=none,也就是和之前的行为一样。

      3. 验证是否升级成功

        查看对应cookies中的samesite是否携带了Secure,SameSite属性

参考:

https://en.wikipedia.org/wiki/HTTP_cookie

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Cookie

https://blog.csdn.net/weixin_44269886/article/details/102459425

https://webkit.org/blog/10218/full-third-party-cookie-blocking-and-more/

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie/SameSite

https://juejin.cn/post/6844904039935655949

https://blog.csdn.net/sinat_36521655/article/details/104844667

cookie安全:https://wenku.baidu.com/view/48f588b1aaea998fcc220eb9.html

彤子酱er
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie: 要求 PHP 7.2+或8.0+ 安装 composer require selective/samesite-cookie SameSite Cookie 相同站点的cookie(“仅第一方”或“第一方”)使服务器断言特定的cookie只应与从同一可注册域发起的请求一起发送,从而减轻CSRF和信息泄漏攻击的风险。 警告: SameSite Cookie根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?php use Selective \ SameSiteCookie \ SameSiteCoo
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookie的samesite属性为none 作者:深入浅出0
谷歌浏览器SameSite=lax导致嵌入Iframe 地址无法设置cookie问题
ysyysjbama的博客
08-17 1万+
问题描述: 页面中通过Iframe嵌入了另外一个网页,但是嵌入的网页无法设置cookie,导致无法访问。仔细检查,在浏览Set-cookie的响应头出发现提示:This Set-Cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=lax", and was blocked because it came from a cross-site response which was not the r...
Cookie-SameSite属性 前端请求不带cookie的问题解决方案
最新发布
一岁就可帅的博客
06-16 654
最近遇到了前端请求后端不带cookie的问题,请求时header里面就是没有cookie查看响应应该是这个问题SameSite是一个cookie属性,用于控制浏览器是否在跨站点请求中发送cookie
【译】Cookie的SameSite属性
weixin_33692284的博客
03-14 7513
翻译自:medium.com/compass-sec… 17年的文章,是对 CSRF 很好的防御手段 理解了这个属性也能避免很多开发上的麻烦,例如 iFrame 中的 Cookie 处理 介绍 过去十年,我教我的学生五个 cookie 属性:“path, domain, expire, HttpOnly, Secure”。但是现在我们有了一个新属性 -SameSite。你知道新引入的 Sam...
Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
EmotionComputer
11-01 931
转载自:Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
chrome浏览器解决跨域请求SameSite方案,Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
weixin_43777074的博客
06-07 4420
Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
浏览器系列之 Cookie 和 SameSite 属性
小易不止于搬砖的博客
07-05 1315
Cookie设置、属性
cookie欺诈浏览器
09-21
4. **SameSite属性**:设置Cookie的SameSite属性可以限制跨站请求发送Cookie,防止CSRF攻击。 5. **定期刷新和设置有效期**:定期更新Cookie并设定合理的有效期,可以增加攻击者的攻击难度。 6. **用户教育**:...
SameSite .NET Core(2.1/2.2/3.0/3.1)源码
09-11
SameSiteCookiesServiceCollectionExtensions.cs 解决 Chrome浏览器因为 SameSite 导致的问题。 使用方法参见:https://asdfg.blog.csdn.net/article/details/108514763
lift-samesite-cookie-workaround
04-06
3. **回退机制**:对于不支持SameSite属性的老版本浏览器,提供一种回退方案,可能是通过设置额外的HTTP头部或者特殊的Cookie值来模拟相同的效果。 4. **API封装**:提供简洁易用的Scala API,方便在Lift框架或其他...
深入浅出Cookie -SameSite,冲冲冲
qq_42236003的博客
03-25 1645
HTTP 一说到http(http1.x),我们想到的第一个词语,可能就是无状态协议了,但是什么是无状态协议,维基百科是这样解释的:无状态协议是指把每一种请求都是做为与之前请求都无关的独立的事务的服务器 简单粗暴的理解就是同一个客户端连续发送两次请求给服务器,服务器也识别不出来这是同一个人发送的请求,这就导致了一个问题就是你不能刷新页面,这样一来,那还搞个鬼,好不容易可以上一下网,还不敢刷新页面,...
SameSite Cookie支持的浏览器版本
u011165335的博客
03-21 2075
查看支持情况: https://caniuse.com/#search=SameSite 其中IE11,只有win10才支持; 谷歌的浏览器51版本支持,80版本开始默认设置; 具体可以看: https://www.lizenghai.com/archives/47337.html ...
【开发心得】Chrome/Edge 91版本SameSite by default cookies被移除后的解决方案
清风唱诗人的博客
07-19 5555
前言:场景是cas单点登录,使用iframe解决跨域问题。 chrome 版本大于80 且 小于91的情况,可以通过 在chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可 感谢:https://www.cnblogs.com/sexintercourse/p/14674090.htm.
后端代码设置Samesite属性
Artisan_w
03-05 2821
Samesite属性设置 目的:防御CSRF Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
Cookie 的 SameSite 属性
日积月累的博客
11-22 6402
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
SpringBoot解决(谷歌Chrome) --SameSite属性
天上飞的云传奇
11-06 2240
转载自 https://springboot.io/t/topic/2602 早点看到就好了,按照之前的SpringBoot配置跨域,只有火狐可以通过。 谷歌和内核一样的Edge都失败了。 也是之前知道谷歌增加了个啥,可以通过配置浏览器解决。但是总不能每访问网站的人都 配置自己的浏览器吧 今天打开看了一下,发现有个警告 Edge报的警告。然后我搜到了这个文章。 方法一:服务端设置 Set-cookie: key=value; SameSite=None; Secure Set-cookie: key=
js设置cookie的SameSite
06-13
JavaScript设置 cookie 的 SameSite 属性,可以通过在设置 cookie 时添加 `SameSite` 属性来实现。例如,如果要设置 SameSite 属性为 Lax,可以使用以下代码: ```javascript document.cookie = "myCookie=myValue; SameSite=Lax"; ``` 如果要设置 SameSite 属性为 Strict,可以使用以下代码: ```javascript document.cookie = "myCookie=myValue; SameSite=Strict"; ``` 请注意,不是所有的浏览器都支持 SameSite 属性,因此在使用时需要注意浏览器的兼容性。另外,如果要同时设置多个 cookie,可以使用分号 (`;`) 将它们分隔开来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值