浏览器默认设置SameSite属性的作用

已于 2022-06-22 18:28:48 修改
阅读量7.1k 收藏 7
点赞数 2
文章标签: 安全 web安全 前端
于 2022-01-30 17:11:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52641692/article/details/122753634
版权

浏览器默认设置SameSite属性的作用

文章目录

前言

Google 在2020年2月4号发布的 Chrome 80 版本中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性,并且拒绝非Secure的Cookie设为 SameSite=None;SameSite的作用就是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪。

一、CSRF 攻击是什么

CSRF(Cross-site request forgery),中文名称:跨站请求伪造

CSRF攻击往往通过盗取你的 Cookie 信息,而Cookie 往往用来存储用户的身份信息,在盗取完你的 Cookie 信息后;恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。

简单来说就是:攻击者盗用了你的身份,以你的名义发送恶意请求。

一个典型的CSRF攻击有着如下的流程:

  1. 当你(受害者)登陆了某个网站AAA.com,验证身份通过后,服务器发来了一个Cookie以确定受害者的身份;于是受害者在本地生成了Cookie。
  2. 在这之后,受害者在未登出AAA.com的情况下,又访问了另一个危险网站BBB.com
  3. BBB.com此时会想要访问AAA.com,于是发送请求,进行想要进行的操作。此时的浏览器会默认携带AAA.com的Cookie。
  4. AAA.com接收到请求后,对请求进行验证,通过其请求中携带AAA.com的Cookie确认是你的身份凭证,误以为是受害者发送的请求。于是就接受了该请求进行相应操作
  5. 至此,CSRF攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让AAA.com执行了自己定义的操作。

CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

二、SameSite 属性

为了防止CSRF这种攻击行为,在chrome80版本以后默认把cookie的SameSite属性设置为Lax,以此来对第三方cookie做一些限制,这样就能大大地降低被CSRF攻击的风险了。

通过设置Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。

SameSite可以设置三个值。

  • Strict
  • Lax
  • None

  1. Strict
    Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

  2. Lax
    Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

  3. None
    Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。
    不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

代码如下(示例):

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

参考文献:

  1. 阮一峰的《Cookie 的 SameSite 属性》。
  2. gjt19970425的《浏览器的SameSite策略
  3. hyddd的《浅谈CSRF攻击方式
本文简单介绍为何chrome要做此次SameSite默认策略的升级,然后简单介绍了CSRF攻击与SameSite对应的三个属性
一条爱学习的咸鱼
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie 的 SameSite 属性
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9129
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
Cookie属性SameSite作用
最新发布
橘导的博客
04-29 310
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。它可以设置三个值。
【谷歌浏览器】谷歌浏览器SameSite
Meditation_Crazy
04-12 855
前言 转载自:https://blog.csdn.net/opiqi/article/details/107955465
chrome 同站策略(samesite)问题及解决方案
热门推荐
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
VSCode设置默认打开的浏览器的方法
10-14
主要介绍了VSCode设置默认打开的浏览器的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
警告: SameSite Cookie根本不适用于旧版浏览器,也不适用于某些Mobil浏览器,例如IE 10,Blackberry,Opera Mini,IE Mobile,适用于Android的UC浏览器。 可以在此处找到更多详细信息: Slim 4整合 <?phpuse ...
默认浏览器设置及vue自动打开页面的方法
10-17
今天小编就为大家分享一篇默认浏览器设置及vue自动打开页面的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
HTML浏览器设置详细
06-09
html 设置 faviconHTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置HTML浏览器设置...
自定义右键属性覆盖浏览器默认右键行为实现代码
09-05
自定义右键属性,对于一些新手朋友来说还是很陌生的,此文讲解的是可以覆盖浏览器默认右键行为,感兴趣的朋友可以了解下,或许本文对你学习又进一步
浏览器学习--cookie和samesite
fcl_0514的博客
07-23 498
一、cookie 由于http是无状态的协议,为了解决http无状态导致的问题,后来出现了cookie。cookie类型为【小型文本文件】,指某些网站为了辨别用户身份而存储在用户本地终端上的数据。大小一般不超过4KB。可以设置过期时间。 1. 设置cookie Expires Expires 用于设置 Cookie 的过期时间。比如: Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; 当 Expires 属性缺省时,.
后端代码设置Samesite属性
Artisan_w
03-05 2681
Samesite属性设置 目的:防御CSRF Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
解决新版本chrome samesite默认级别为lax,后端用shiro必传cookie但是传不过去的问题。
weixin_38067069的博客
08-12 3850
先说一下解决办法 1、修改浏览器配置(不推荐) 地址栏输入:chrome://flags/ 找到SameSite by default cookies和Cookies without SameSite must be secure 将上面两项设置为 Disable 2、后端与前端同域(推荐) 我是用这种方式解决的。用nignx代理后端服务器,等于前后端在同一个域下,这样就不存在跨域的问题,也就不存在samesite的验证问题了,所...
【译】Cookie的SameSite属性
weixin_33692284的博客
03-14 7498
翻译自:medium.com/compass-sec… 17年的文章,是对 CSRF 很好的防御手段 理解了这个属性也能避免很多开发上的麻烦,例如 iFrame 中的 Cookie 处理 介绍 过去十年,我教我的学生五个 cookie 属性:“path, domain, expire, HttpOnly, Secure”。但是现在我们有了一个新属性 -SameSite。你知道新引入的 Sam...
Chrome 80 Cookie跨域 Samesite Lax 的错误
郎涯技术
07-30 1万+
本地局域网前后端分离的项目,前端是192.168.123.90,后端是192.168.123.2。今天早上发现用户登录报告登录失败(本质原因是无法设置cookie)。一开始以为后端出问题了,但最近没改用户登录的相关逻辑,后来换火狐、edge 是可以的,并且有些人的 Google 可以正常登录。 有问题的Google浏览器的调试信息报告以下错误: 设置cookie时提示:This set-cookie didn't specify a "SameSite" attribute and was defaulte
解决由于SameSite=Lax引起的Set-Cookie不成功问题
weixin_57369490的博客
06-14 1872
看了一些文章说是因为浏览器考虑安全问题导致的,相关内容就不介绍了,这里主要介绍我使用的有效的方法,简单一步。这样后端传来的Cookie可以在前端正常保存,但当前端向后端请求时携带Cookie也需要设置一下。记得在application.xml里配置以下代码,作用是让这个Cookie只能在本地域名使用。再次去浏览器检查就能发现可以后端发来的Cookie可以被前端正常保存了。本人小白,很多表达可能不准确,还请指正。
苹果的浏览器设置SameSite属性Lax
06-13
是的,苹果的Safari浏览器在iOS 12及以下版本不支持SameSite=None属性,但支持SameSite=Lax属性。SameSite=Lax属性可以让浏览器在某些情况下发送跨站请求,例如用户从外部网站链接到您的网站时。 如果您需要在iOS ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值