FSRC经验分享系列介绍
新年新气象,我们会在FSRC公众号发出焦点科技信息安全部工作过程中总结的经验。分享内容不仅是漏洞分析,也包括运营、sdl、等保、自研工具等。只要与安全相关,我们都会整理并分享给大家,欢迎各位安全从业者关注。
1文章内容简介
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
未来Chrome浏览器会默认为Cookie添加SameSite属性,在跨站请求的情况下不允许跨站携带Cookie给后端,导致所有跨站场景下使用Cookie进行鉴权的服务会受到影响。
本文分析了一旦该属性默认对所有升级到相应版本的用户生效,可能对安全和业务产生的影响。
阅读本文,你可以获取如下信息:
理解SameSite的含义
SameSite设置为Lax和Strict的区别细节
SameSite属性对安全的影响
业务方如何应对SameSite?
2CSRF简介
SameSite的目的就是为了防止CSRF攻击,在此稍微介绍下CSRF攻击步骤便于理解:1.假设有个bank.com的银行转账接口
|
攻击者hack拥有一个域名hack.com,并构造hack.com/csrf.html,包含如下内容
| <