今天看了一道面试题,关于cookie
中的SameSite
属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解
。
一、写在头部
我们在处理CSRF攻击
的时候,常常使用的解决方案是1、判断http的Referer属性
,2、设置csrf token
,3、在http中设置自定义字段保存token
。我们使用如上三种方式就可以解决CSRF的攻击
。今天我们所说的cookie
中的SameSite
属性也是可以解决CSRF
攻击的。
我们都是HTTP
是没有状态的,然后为了保存状态,后来网景公司发明了cookie
用来记录用户的状态信息。但是存在一个弊端,就是我们网站A的cookie
可以作为第三方网站的cookie
去使用。这样就造成了CSRF的漏洞
。SameSite
就可以限制第三方cookie
的使用。
二、SameSite的属性值
SameSite
可以设置为三个属性strict
,Lax
,None
,接下来我们将从三个属性分别去介绍。
属性一:strict属性:
该属性表示表示完全禁止第三方cookie
,也就是在跨站时,均不会携带cookie
,只有当前站点的
浅谈cookie中的SameSite属性
最新推荐文章于 2024-06-12 10:03:57 发布