Set-Cookie: ...;SameSite=strict

最新推荐文章于 2024-09-26 19:38:44 发布
最新推荐文章于 2024-09-26 19:38:44 发布
阅读量391 收藏
点赞数 1
文章标签: 前端 javascript 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuehao1997/article/details/131037234
版权
SameSite属性是Cookie的一种设置,用于控制在跨站请求时是否携带Cookie。Lax模式允许GET类型的跨站请求携带Cookie,防止CSRF攻击。Strict模式则完全阻止跨站请求携带Cookie,而None则允许跨域,但需要HTTPS环境下使用以确保安全。
摘要由CSDN通过智能技术生成

cookie中的SameSite属性:主要是用来限制跨站请求的。就是从A网站,通过a标签,iframe,src,script标签,请求别的站点资源,请求中需不需要携带cookie。
原先没有这个规范,会造成csrf(跨站请求伪造)

该属性有三个值

  • Lax:它是 只允许 GET 跨域请求携带
  • strict:严格标志将阻止cookie被浏览器发送到所有跨域目标网站,即使是常规的GET请求
  • none:开发人员仍然可以不受限制的使用跨域cookie

名词科普:
同站:一级域名相同
二级域名:一级域名下的主机名

xuehao1997
关注
simple-cookie:一个用于管理浏览器cookie的简单库
05-23
- **SameSite attribute**:控制跨站请求时Cookie是否发送,分为"Lax"(默认)、"Strict"和"None",有助于防止CSRF攻击。 **5. Simple Cookie与其他解决方案的比较** - **与原生API对比**:原生的`document....
Cookie 的 SameSite 属性
一劍傾城
07-29 1147
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换...
http协议(四)Set-Cookie
Niall_Tonshall的博客
03-22 6208
响应首部 Set-Cookie 被用来由服务器端向客户端发送 cookie。 1. 指令 <cookie-name>=<cookie-value> 一个 cookie 开始于一个名称/值对: <cookie-name> 可以是除了控制字符 (CTLs)、空格 (spaces) 或制表符 (tab)之外的任何 US-ASCII 字符。同时不能包含以下分隔字符: ( ) < > @ , ; : \ " / [ ] ? = { }. <cookie-v
SpringBoot解决“此Set-Cookie标头未指定‘SameSite“属性,它默认为‘SameSite=Lax,必须为此SetCookie设置“SameSite=None“才能实现跨站点使用。
m0_71905098的博客
07-02 953
注意:这两个配置必须同时添加并且secure为true 不然会出现“尝试通过Set-Cookie 标头设置Cookie 时被阻止,因为它具有"SameSite=None"属性,但没有使用"SameSite=None"所必须得"Secure"属性。这是baseUrl里面的访问地址。这个问题主要出现在跨域的问题上 你的前端config访问的地址跟你baseurl的路径不一致 导致Chrome访问的时候出现跨域问题。这是config里面配置的路径。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9301
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
Cookie的SameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
理解前端Cookie中的SameSite属性
Keep trying, keep going
06-12 588
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
跨站 和 SameSite
huangpb的博客
08-30 459
Cookie 的 SameSite 属性可以让 Cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)。之前默认是 None,Chrome80 后默认是 Lax。
Springboot应用中设置Cookie的SameSite属性
a595077052的专栏
08-26 3159
转载自https://springboot.io/t/topic/2602 Cookie除了key和value以外有几个属性。 httpOnly是否允许js读取cookie secure是否仅仅在https的链接下,才提交cookie domaincookie提交的域 pathcookie提交的path maxAgecookie存活时间 sameSite同站策略,枚举值:StrictLaxNone 其他的都很熟悉了,最后一个是 Chrome 51 开始,浏览器的 Cookie ...
cookie-guide:完整的cookie指南
05-27
3. **SameSite**:`SameSite`属性限制了第三方Cookie的使用,可以防止CSRF(跨站请求伪造)攻击,有`Lax`和`Strict`两种模式。 ### 六、应用示例 在实际应用中,Cookie常用于用户认证、个性化设置、购物车管理等...
cookie-test.zip
10-17
sameSite: 'strict' // 防止跨站请求伪造(CSRF) }); ``` **HTML与JavaScript交互** 在描述中提到的HTML文件可能是用来展示或测试Cookie设置的页面。JavaScript代码可能被包含在这个HTML文件内(内联或外部...
express入门(10)- cookie
07-21
sameSite: 'strict' // 限制只在本站点请求时发送 }); ``` #### 七、总结 通过本文的学习,你应该已经了解了如何在Express框架中使用Cookie。无论是设置、读取还是删除Cookie都非常简单。同时,我们也强调了保护...
信息安全_数据安全_The_cookie_monster_in_your_browsers.pdf
08-22
在本文档中,我们将探讨饼干的历史、基本语法、机制、隐私控制以及近年来的一些重要改进,如HttpOnly、SameSiteStrict Secure等特性。 1. 饼干历史: - 1966年,网络还处于起步阶段,饼干的概念尚未形成。 - ...
set-cookiecookie 的区别作用
墨痕诉清风的博客
08-31 570
HTTP响应报文通过Set-Cookie通知客户端需要保存如下cookie;可以含多个Set-Cookie项<a></a>。由服务器发送一个HTTP-cookie到浏览器。PHP函数setcookie()和setrawcookie()均可设置Cookie,它们都有一个boolean型的返回值,如果是false,代表设置失败;如果是true,代表设置成功。但这个返回值仅供参考,并不能保证100%客户端能够成功。
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
绚烂的天空
12-13 743
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 CookieSet-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应头(Security Response header)配置手册
前端工程规范-2:JS代码规范(Prettier + ESLint)
最新发布
Vinca@的博客
09-26 640
Prettier 主要关注代码的格式,而 ESLint 则关注代码的质量和规范。结合使用这两个工具,可以极大地提高代码的可读性和维护性,同时减少潜在的错误和不一致性。
浏览器中有多个Set-Cookie怎么把Set-Cookie的属性SameSite设置成STRICT
07-14
要将Set-Cookie属性SameSite设置为STRICT,您可以通过在Set-Cookie标头中包含"SameSite=Strict"来实现。如果浏览器中有多个Set-Cookie标头,您需要为每个Set-Cookie标头分别设置SameSite属性。 例如,在JavaScript中,您可以使用document.cookie来设置Set-Cookie标头: ```javascript document.cookie = "cookie1=value1; SameSite=Strict"; document.cookie = "cookie2=value2; SameSite=Strict"; ``` 在服务器端,您可以使用相应的编程语言(如Python、Java或PHP)设置响应标头中的Set-Cookie值: Python示例: ```python response.set_cookie('cookie1', 'value1', samesite='Strict') response.set_cookie('cookie2', 'value2', samesite='Strict') ``` Java示例: ```java response.addHeader("Set-Cookie", "cookie1=value1; SameSite=Strict"); response.addHeader("Set-Cookie", "cookie2=value2; SameSite=Strict"); ``` PHP示例: ```php header('Set-Cookie: cookie1=value1; SameSite=Strict'); header('Set-Cookie: cookie2=value2; SameSite=Strict'); ``` 这样,浏览器在接收到这些Set-Cookie标头时,会将它们的SameSite属性设置为STRICT。请注意,不同编程语言和框架可能有不同的方法来设置响应标头中的Set-Cookie值。请根据您使用的编程语言和框架进行相应的调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值