浅谈cookie中的SameSite属性

最新推荐文章于 2024-06-12 10:03:57 发布
最新推荐文章于 2024-06-12 10:03:57 发布
阅读量9.1k 收藏 28
点赞数 9
分类专栏: 计算机网络 文章标签: cookie SameSite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47450807/article/details/123248357
版权

今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解
一、写在头部
我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。
我们都是HTTP是没有状态的,然后为了保存状态,后来网景公司发明了cookie用来记录用户的状态信息。但是存在一个弊端,就是我们网站A的cookie可以作为第三方网站的cookie去使用。这样就造成了CSRF的漏洞SameSite就可以限制第三方cookie的使用。
二、SameSite的属性值
SameSite可以设置为三个属性strict,Lax,None,接下来我们将从三个属性分别去介绍。
属性一:strict属性:该属性表示表示完全禁止第三方cookie,也就是在跨站时,均不会携带cookie,只有当前站点的

最低0.47元/天 解锁文章
卖菜的小白
关注
  • 9
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 1964
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie
Cookie之SameSite属性
找到Web
08-27 1415
Cookie之SameSite属性 Chrome80之后更新了cookie的携带机制,把原来的SameSite属性,由None改成了Lax,这就导致了一些需要使用到第三方cookie的应用产生了异常。如果你这段时间有经常关注控制台的话,可能会发现一些warning: Cookie的SameStie属性用来限制第三方Cookie,从而减少安全风险(防止CSRF攻击)和用户追踪。 具体如何使用cookie来防止CSRF攻击,可以参考使用站点Cookie属性防止CSRF攻击,里面基础地介绍了相关的知识。 S
set-cookie的SameSite属性
关灯吃面
02-22 2万+
再见,CSRF:讲解set-cookie的SameSite属性 2016-04-14 13:18:42 来源:360安全播报 作者:暗羽喵  阅读:18836次 点赞(17) 收藏(21) SameSite-cookies是一种机制,用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,并且现在在最新版本(Chrome Dev 51.0.
Cookie的SameSite属性
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
理解前端Cookie的SameSite属性
最新发布
Keep trying, keep going
06-12 271
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求属性可以有效地防止CSRF攻击,因为在CSRF攻击,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
chrome 同站策略(samesite)问题及解决方案
热门推荐
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
Cookie 的 SameSite 属性
日积月累的博客
11-22 6297
2 月份发布的 Chrome 80 版本默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端。
SpringBoot 为 Cookie 设置 SameSite
weixin_44951259的博客
11-13 1485
这里必须使用 addHeader() 而不是 setHeader(),惨痛的教训。最近在做单点登录系统时,部分场景需要使用 Cookie 保存信息,浏览器频繁给出警告。使用以下代码设置 Cookie 的同时设置 SameSite 属性即可。
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
将SameSite属性添加到Magento会话cookie。 对于3DS付款,付款网关倾向于通过POST将请求发送到基于Magento的网站。 但是,如果没有用于会话cookie的SameSite = None,则Magento无法继续任何PHP会话状态。 该扩展...
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
在PHP浅谈Cookie与Session.pdf
01-06
"浅谈Cookie与Session在PHP的应用" Cookie是浏览器保存的一种小型文本文件,用于存储用户信息,以便在用户访问网站时,服务器可以识别用户身份。Cookie可以分为两种类型:会话Cookie和持久Cookie。会话Cookie是指...
浅谈Cookie的生命周期问题
09-01
Cookie是Web应用程序常用的一种数据存储机制,它用于在客户端(浏览器)和服务器之间传递信息。本文将深入探讨Cookie的生命周期问题,理解如何管理和控制Cookie的生存时间。 首先,Cookie的生命周期是由其“过期...
cookie的path与domain属性详解
12-07
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.jb51.net/test/test.aspx,那么domain默认为...2.path表示cookie所在的目录,asp.net默认为/,就是根目录。在同一个服务器上有目录如下:/te
Cookie Samesite简析
の博客
05-16 346
Cookie Samesite简析
Springboot应用设置Cookie的SameSite属性,跨域支持
seapeak007的博客
02-07 1万+
转自:Springboot应用设置Cookie的SameSite属性 - SpringBoot文社区 - 博客园 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chro...
一次跨域问题的解决经历(samesite
DATANGguanjunhou的博客
02-06 2686
1. 问题描述 生产和测试环境使用nginx做了反向代理,所以不存在跨域的问题,但是在本地研发环境,由于前后端分离,前端和后端在不同的电脑上开发,存在跨域问题。 前端使用的是vue,后端使用的是springboot。在前后端都做了跨域的设置,前端的设置为: //前端在vue的main文件全局添加一下代码: import axios from 'axios'; axios.defaults.withCredentials=true; 后端的设置为: import org.springframework.co
nginx配置 设置cookie的samesite属性
04-25
好的,对于这个问题,可以在nginx配置添加以下代码: ``` location / { add_header Set-Cookie "name=value; path=/; HttpOnly; SameSite=strict"; } ``` 其,Set-Cookie设置的是要设置cookie名称和值;path指定cookie在哪个路径下可用;HttpOnly表示cookie只能通过http/https传输,不能通过JavaScript访问;SameSite指定cookie在什么情况下可以发送,有三个选项:Strict表示只能在同源请求时发送,Lax表示除了GET请求之外的请求均可发送,None表示任何情况下都可以发送,但需要配合Secure属性使用。 注意,如果使用了SameSite属性,则必须同时设置Secure属性,以保证cookie只能在https安全连接传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值