本文介绍了Chrome浏览器默认为Cookie添加SameSite属性,分析了其对安全和业务的影响。SameSite属性分为Strict和Lax,分别限制不同类型的跨站请求携带Cookie。设置了Strict的Cookie在跨站请求中不携带,而Lax则限制部分请求。这种改变旨在防范CSRF攻击,但也影响了依赖Cookie鉴权的业务。应对策略包括关闭SameSite属性或改用头部传输验证票据。
FSRC经验分享系列介绍
新年新气象,我们会在FSRC公众号发出焦点科技信息安全部工作过程中总结的经验。分享内容不仅是漏洞分析,也包括运营、sdl、等保、自研工具等。只要与安全相关,我们都会整理并分享给大家,欢迎各位安全从业者关注。
1文章内容简介
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
未来Chrome浏览器会默认为Cookie添加SameSite属性,在跨站请求的情况下不允许跨站携带Cookie给后端,导致所有跨站场景下使用Cookie进行鉴权的服务会受到影响。
本文分析了一旦该属性默认对所有升级到相应版本的用户生效,可能对安全和业务产生的影响。
阅读本文,你可以获取如下信息:
理解SameSite的含义
SameSite设置为Lax和Strict的区别细节
SameSite属性对安全的影响
业务方如何应对SameSite?
2CSRF简介
SameSite的目的就是为了防止CSRF攻击,在此稍微介绍下CSRF攻击步骤便于理解:1.假设有个bank.com的银行转账接口
|
攻击者hack拥有一个域名hack.com,并构造hack.com/csrf.html,包含如下内容
| <
最低0.47元/天 解锁文章
扫一扫
5346
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
