SameSite Cookie是什么

子凡 问答 2020-08-31 00:59:46 阅读(...)

SameSite是Cookie中的一个属性用来限制第三方Cookie,从而减少安全风险。Chrome 51 开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。

Chrome 51 开始,浏览器的 Cookie 新增加了一个 SameSite 属性,用来防止 CSRF 攻击和用户追踪。Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。

SameSite

Web 前端安全,从影响面看排名前两位的就是 XSS 和 CSRF,其基本原理都是攻破了浏览器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。而 google 则希望从标准层面去根治这个排名第二的前端安全漏洞。其方案就是给 Cookie 新增一个属性,用这个属性来控制什么情况下可以发送 Cookie,这个属性就是我们今天要讨论的 SameSite 属性。

SameSite 属性有三个枚举值,分别是 strict/lax/none。Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

设置了 Strict 或 Lax 以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。Chrome 计划将 Lax 变为默认设置。这时,网站可以选择显式关闭 SameSite 属性,将其设为 None。不过,前提是必须同时设置 Secure 属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

对于依赖三方 Cookie 的业务,比如登录组件,商业化组件等,需要做技术改造来适应 Google 的这个调整。就像对抗疫情一样,Web 安全治理需要整个行业技术生态的支持,从这个角度看,我们互联网技术人应该积极响应和支持 Google 的这个策略。

稍微尴尬的是有些企业还没有这个觉悟,比如我们常用的 Java Web 开发底层框架,Servlet 的 Cookie 类还没有支持这个新的属性,需要我们自己去实现。希望 Google 这一举动能反向驱动整个行业生态,共同来根治 CSRF 漏洞。可以预见 3-5 年以后,互联网的江湖将不再存在 CSRF 这个漏洞了。

0个人收藏 收藏

评论交流

泪雪默认头像 请「登录」后参与评论
  1. 加载中..

相关推荐

  • Cookie

    cookie是什么意思

    Cookie 是基于 Internet 的各种服务系统应运而生的,是 Web 服务器保存在用户浏览器上的小文本文件,它包含相关用户的信息,是用户获取、交流、传递信息的主要场所之一。
  • 临时文件 Temporary documents

    临时文件怎么删除

    删除临时文件可以从开始菜单打开设置,在左侧窗格中,选择系统设置,然后单击右侧的存储,单击临时文件项,勾选所有要删除的框,然后单击 删除文件,就可以了,删除这些文件,便能够提升电脑的运行速度和效率,减轻硬盘和系统负担。
  • Cookie function cookie 功能

    怎么启用浏览器cookie功能

    浏览器打开cookie在IE页面的右上角点击工具按钮,弹出下拉菜单,选择internet选项,选择隐私按钮,设置为中,点击高级,弹出对话框,勾选替代自动cookie处理,勾选总是允许会话cookie(w),点击确定即可。
  • 公开密钥认证

    公开密钥认证是什么

    公开密钥认证(Public key certificate)又称数字证书或身份证书。是用于公开密钥基础建设的电子文件,用来证明公开密钥拥有者的身份。此文件包含了公钥信息、拥有者身份信息(主体)、以及数字证书认证机构(发行者)对这份文件的数字签名,以保证这个文件的整体内容正确无误。
  • cookie

    Cookies怎么删除

    先打开IE或其它IE内核的浏览器,点击页面最上方一行中的“工具”。点击“internet”选项,点击“删除Cookies”选项,点击“确定”后,点击对话框下方的“确定”,这样就删除完成。
  • cookies

    Cookies有什么用途

    服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态;判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续;以及购物车之类处理。