html5新增属性cookies,关于cookie的SameSite属性

最新推荐文章于 2024-04-29 15:45:07 发布
最新推荐文章于 2024-04-29 15:45:07 发布
阅读量1k 收藏 1
点赞数
文章标签: html5新增属性cookies

关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性

大致在这里就概况下

1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪

那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面:

Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。

2,那么SameSite 属性到底是怎么实现了防止CSRF攻击和用户追踪呢?

cookie的sameSite属性就是用来限制第三方网站拿到你的cookie,从而达到减少风险的效果。

比如我们常用的 swagger ,本地测试时,调用login接口,然后查询其他接口会带上cookie,

但是如果我们谷歌浏览器打开了SameSite开关,然后我们在本地调用测试环境的接口时,会发现其他接口拿不到login的setCookie,从而导致登录无效

只有我们关闭浏览器的sameSite开关,我们才可以获得不同域名的setCookie

关于SameSite的详细属性以及说明,请参考阮一峰老师的教程

Cookie 的 SameSite 属性

那么我们怎么关闭谷歌的SameSite设置呢?

1,首先,我们在谷歌输入 chrome://flags/

8e3217d3442ac437dcd2822a473f529b.png.jpg")

2,然后我们输入框输入 :SameSite by default cookies、Cookies without SameSite must be secure

089484b4aa39728a46bffbaed6d5fb63.png.jpg")

3,设置上面这两项设置成 Disable

然后重启谷歌就可以关闭这个设置了

当然,如果你不想设置谷歌你也可以通过设置cookie实现访问

关于cookie的设置

报文里面set-cookie,添加SameSite=None; Secure=true

from: https://www.cnblogs.com/webHa...

b739ec46bb5c46d9c0aa4ce35ba1ea56.png

关于找一找教程网

本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。

本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。

[关于cookie的SameSite属性]http://www.zyiz.net/tech/detail-146643.html

卞老板
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html5中http服务默认端口号,你真的知道 Cookie 吗? SameSite 、 Secure 、 HttpOnly
weixin_29570795的博客
06-27 789
这两天(已经是一个多月前了) SF 上面很多 cookie 的问题,然后还有个 cookie 相关的付费问答。所以咱们今天来这么一节,废话多说点,先说说大体问题方向。跨域如何携带 cookiechrome 80 版本加强隐私。SameSite=Lax 为默认值,禁止了一部分场景携带 cookieCookie用于服务端辨别用户身份,储存在用户本地的数据。可以解决客户端与服务端会话状态的问题,这个状...
统一认证,跨域cookie写入问题,修改sameSite
Thog_13的博客
06-21 1351
认证中心采用iframe嵌套业务平台的模式,进行oauth2.授权,跨域cookie写入问题。
CORS请求Request携带Cookie失败占用License解决方案
yaoxin521123的博客
10-18 1409
Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。这时,网站可以选择显式关闭 SameSite 属性,将其设为 None。不过,前提是必须同时设置 Secure 属性Cookie 只能通过 HTTPS 协议发送),否则无效。,只有少部分请求需要带上的情况,一般没有。
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 382
CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
后端代码设置Samesite属性
Artisan_w
03-05 2757
Samesite属性设置 目的:防御CSRF Cookie属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
浏览器默认设置SameSite属性的作用
oi
01-30 7177
系列文章目录 文章目录系列文章目录一、CSRF 攻击是什么二、SameSite 属性 一、CSRF 攻击是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造 CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。 一个典型的CSRF攻击有
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
javascript 操作cookies及正确使用cookies属性
01-21
一、从写 cookie 说起。 var the_date = new Date(“December 31, 2020”); var expiresDate = the_date.toGMTString(); [removed] = “userDefineCSS=” + escape(title) + “; expires=” + expiresDate; 第一句是...
django-cookies-samesite:该存储库包含一个中间件,该中间件会自动为Django的旧版本中的会话和csrf cookie设置SameSite属性
05-02
django-cookies-相同站点 该存储库包含一个中间件,该中间件会自动为Django的旧版本(例如1.11.x,2.2.x或3.0.x)中的会话和csrf cookie设置SameSite属性。 Django 3.1.x不需要此模块,它为会话和csrf cookie引入了...
samesite cookie安全特性
01-07
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 ...这个特性会导致: ...如果网站需要跨域分享数据,则设置相关cookiesamesite属性为none 作者:深入浅出0
HTML5 Web缓存和运用程序缓存(cookie,session)
09-27
它们包括了传统的Cookie、Session以及HTML5引入的LocalStorage和SessionStorage。理解这些缓存机制的工作原理和应用场景对于优化Web应用至关重要。 首先,Cookie是最早的客户端存储机制之一,主要用来追踪用户的...
CookieSameSite的问题与解决办法
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全性
set-cookie中的SameSite属性
热门推荐
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie中的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
ThinkPHP跨域设置”samesite=none”和“secure”参数的方法和注意事项
wbryze的博客
03-29 3367
因开发插件需要,将另一个网站的数据通过AJAX添加到ThinkPHP制作 的一个网站上的购物车。 需要网站支持跨域请求同步COOKE,具体操作如下: /public/index.php 第二行添加以下代码: ACAO=′∗′;header("Access−Control−Allow−Credentials:true");//允许COOKIE共享header("XDomainRequestAllowed:1");//允许COOKIE共享IEif(!empty(ACAO = '*'; header("Acces
CookieSameSite 属性
日积月累的博客
11-22 6242
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
一场由SameSite字段引发的前端悲剧
a158559681的博客
04-06 1007
最近,小千早上起来的时候,有同学反映后台的更新功能失效了,打开之后发现确实后台显示报错,如下图所示。 后来排查了一下,发现这次请求确实没有发cookie信息到后台 由于后台是用session存储用户的登录状态的,所以如果这里少了cookie信息的话,由于http本身是无状态的,导致不知道是哪个用户登录了,这里就报了ERROR_SESSION这样的错误,苦思冥想之后,各种搜索,突然发现了一点线索,就是这个 SameSite字段搞得怪。 关于SameSite字段的介绍 SameSite 是HTTP响应头 S
springboot cookie增加SameSite=None;Secure属性
路过君的博客
05-14 7215
依赖
cookie默认有效期多长_惊艳面试官的 Cookie 介绍
weixin_39890629的博客
11-28 1960
关注在看,以后更多干货分享在头条!Cookie 是什么Cookie 是用户浏览器保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。Cookie 主要用于以下三个方面:会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)✔ DomainDomain 标识指定了哪些主机可以...
samesite by default cookies
06-28
samesite by default cookies是一种新的cookie安全策略,它要求浏览器在跨站点请求时只发送同站点请求,从而减少了跨站点攻击的风险。这种策略已经被主流浏览器支持,并且正在逐步普及。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值