このサイトをブックマークする[メールが届かない][ナビゲーション]
ーキテクト、プログラマ同士のコンピュータ・プログラミング知識の交換に特化したプラットフォーム!

架构师_程序员_码农网

ユーザー名 パスワード取得
会員登録

QQ登录

ワンステップ

検索
架构师 _程序员_码农网" プログラミングと開発 ' 技術的な話 ' CSRF攻撃を防ぐ クッキーのSameSite属性
一覧に戻る发新帖
閲覧:4299|返信: 1
打印 上一主题 下一主题

クッキーのCSRF攻撃を防ぐSameSite属性

[コピーリンク]
ジャークスゲート
への直接リフト跳转到指定楼层
オーナー
发表于2022-4-17 20:24:47只看该作者回帖奖励|リバースブラウズ|リードモード
SameSiteプロパティ

Chrome 51 から、CSRF 攻撃とユーザ追跡(第三者による悪意のあるクッキー取得)を防止し、サードパーティのクッキーを制限してセキュリティリスクを低減するために、ブラウザのクッキーに新しい SameSite 属性が追加されました。

RFC6265bis で定義されている SameSite: https://datatracker.ietf.org/doc/html/draft-ietf-httpbis-cookie-same-site-00

CSRF 攻撃についてのレビュー:

ASP.NET CSRF 攻撃 Ajax リクエストのカプセル化
https://www.itsvse.com/thread-8077-1-1.html

CSRF 攻撃を防ぐための AntiForgeryToken を使用した mvc ajax。
https://www.itsvse.com/thread-4207-1-1.html

QQ Quick Loginプロトコルを分析し、「CSRF」を実装する。
https://www.itsvse.com/thread-3571-1-1.html
SameSiteプロパティには、Strict、Lax、Noneの3つの値を設定できます。

Strict: Strict は、第三者がクッキーを取得することを完全に禁止します。クロスサイトでは、クッキーはどのような状況でも送信されませ ん。現在のウェブページの URL がリクエストのターゲットと同じ場合のみ、クッキーがもたらされます。例えば、現在のウェブページにGitHubのリンクがある場合、ユーザーはそれをクリックし、GitHub Cookieなしでそこにジャンプします。

Lax: クロスサイトを防ぎ、GETリクエスト(リンク、プリロード、GETフォーム)のターゲットURLへのナビゲーションがない限り、クッキーの取得を禁止するケースがほとんどです。StrictまたはLaxを設定すると、基本的にCSRF攻撃がなくなります。もちろん、これはユーザのブラウザが SameSite 属性をサポートしていることを前提としています。

SameSite属性のデフォルトSameSite=Lax [この操作は、Googleが2019年2月4日にChrome 80安定版をリリースした後のバージョンに適用されます]。



なし:制限なし。

Secure属性(クッキーはHTTPSプロトコル経由でのみ送信可能)も設定する必要があります。 [このアクションは、2019年2月4日にGoogleがChrome 80安定版をリリースした以降のバージョンに適用されます]。


SameSiteプロパティのテスト

サイトAのF12コンソールを介して、サイトAから画像を動的にロードします:

以下の図に示すように、サイト A のドメイン名の画像を要求するとき、サイト A がクッキー(SameSite には設定がない、つまり Lax)を運ぶことが、ネットワーク要求を通してわかる:



ランダムなサイトBを見つけ、サイトAの画像を動的に読み込むと、下図のようにクッキーを持たないことがわかりました:



(終了)

プロトコル, リクエスト, セキュリティ




前の記事:jQueryのhideが機能しない 2つの解決策
次の記事:Angular要素 ngif hidden visibility 表示と非表示
收藏转播分享お気に入り0再放送

関連記事

コード農家のネットワークは、唯一の練習の過程で公開され、技術的な困難に遭遇し、他の人を誤解させないでください。
返信

レポート
トビウオ
ソファー
投稿日時:2022-4-17 21:20:07作者のみ表示
|にできるようにあなたがそれをすることができます本当に出くわすことあなたは、実際には私たち約束、誰でも素早くはちょうど無視これらの一見正確にどのように{}人のことを忘れることができます。
コード農家ネットワーク、唯一の練習の過程で公開、技術的な困難に遭遇した、他の人を誤解させないでください。
返信

レポート
リストに戻る发新帖
アドバンスモード
Bカラー画像リンク引用コードスマイリー
投稿するにはログインが必要です ログイン会員登録

このバージョンのインテグラルルール

免責事項:コード・ファーマー・ネットワークが発表したすべてのソフトウェア、プログラミング資料または記事は、研究および調査目的に限定されます。上記のコンテンツは、商業的または違法な目的のために使用してはならず、そうでなければ、すべての結果はユーザーが負担してください。本サイトはネットワークからの情報であり、著作権紛争は本サイトとは関係ありません。ダウンロード後24時間以内に、上記のコンテンツをコンピュータから完全に削除する必要があります。もしあなたがこのプログラムを気に入ったなら、正規のソフトウェアをサポートし、登録を購入し、より良い正規のサービスを受けてください。もし著作権侵害があれば、メールでご連絡ください。
メール To:help@itsvse.com

QQ|( 鲁ICP备14021824 号-2)|サイトマップ

GMT+8, 2024-9-19 04:35

クイック返信トップに戻る一覧に戻る