防止 CSRF 攻击 Cookie 的 SameSite 属性

小渣渣

SameSite 属性

Chrome 51 开始，浏览器的 Cookie 新增加了一个SameSite属性，用来防止 CSRF 攻击 和用户追踪（第三方恶意获取cookie），限制第三方 Cookie，从而减少安全风险。

定义在RFC6265bis的SameSite：https://datatracker.ietf.org/doc/html/draft-ietf-httpbis-cookie-same-site-00

关于 CSRF 攻击回顾：

ASP.NET CSRF 攻击Ajax请求封装
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax带上AntiForgeryToken防止CSRF攻击
https://www.itsvse.com/thread-4207-1-1.html

分析QQ快速登录协议 并实施“CSRF”
https://www.itsvse.com/thread-3571-1-1.html

SameSite属性可以设置三个值：Strict、Lax、None。

Strict：严格，完全禁止第三方获取cookie，跨站点时，任何情况下都不会发送cookie；只有当前网页的 URL 与请求目标一致，才会带上 Cookie。这个规则过于严格，可能造成非常不好的用户体验。比如，当前网页有一个 GitHub 链接，用户点击跳转就不会带有 GitHub 的 Cookie，跳转过去总是未登陆状态。

登录可见。

Lax：防范跨站，大多数情况下禁止获取cookie，除非导航到目标网址的GET请求（链接、预加载、GET表单）；设置了Strict或Lax以后，基本就杜绝了 CSRF 攻击。当然，前提是用户浏览器支持 SameSite 属性。

SameSite属性的默认SameSite=Lax 【该操作适用于2019年2月4号谷歌发布Chrome 80稳定版之后的版本】

登录可见。

None：没有限制。

必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。 【该操作适用于2019年2月4号谷歌发布Chrome 80稳定版之后的版本】

登录可见。

测试 SameSite 属性

我们在 A 站点通过 F12 控制台，动态加载一张 A 站点的图片，代码如下：

登录可见。

我们通过网络请求可以看到，A 站点在请求 A 站点域名的图片的时候，会携带上 cookie（SameSite 没有做任何设置，也就是 Lax），如下图所示：



我们随便找个 B 站点，然后动态加载 A 站点的图片，发现没有携带任何 cookie，如下图：



（完）

飞鱼

学习学习。。。