架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3120|回复: 1

防止 CSRF 攻击 Cookie 的 SameSite 属性

[复制链接]
发表于 2022-4-17 20:24:47 | 显示全部楼层 |阅读模式
SameSite 属性

Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。

定义在RFC6265bis的SameSite:https://datatracker.ietf.org/doc/html/draft-ietf-httpbis-cookie-same-site-00

关于 CSRF 攻击回顾:

ASP.NET CSRF 攻击Ajax请求封装
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax带上AntiForgeryToken防止CSRF攻击
https://www.itsvse.com/thread-4207-1-1.html

分析QQ快速登录协议 并实施“CSRF”
https://www.itsvse.com/thread-3571-1-1.html
SameSite属性可以设置三个值:Strict、Lax、None

Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

Lax:防范跨站,大多数情况下禁止获取cookie,除非导航到目标网址的GET请求(链接、预加载、GET表单);设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

SameSite属性的默认SameSite=Lax 【该操作适用于2019年2月4号谷歌发布Chrome 80稳定版之后的版本】

QQ截图20220417200928.jpg

None:没有限制。

必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。 【该操作适用于2019年2月4号谷歌发布Chrome 80稳定版之后的版本】


测试 SameSite 属性

我们在 A 站点通过 F12 控制台,动态加载一张 A 站点的图片,代码如下:

我们通过网络请求可以看到,A 站点在请求 A 站点域名的图片的时候,会携带上 cookie(SameSite 没有做任何设置,也就是 Lax),如下图所示:

QQ截图20220417201339.jpg

我们随便找个 B 站点,然后动态加载 A 站点的图片,发现没有携带任何 cookie,如下图:

QQ截图20220417202359.jpg

(完)





上一篇:jQuery hide 不起作用两种解决方案
下一篇:Angular 元素 ngif hidden visibility 显示和隐藏
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2022-4-17 21:20:07 | 显示全部楼层
学习学习。。。
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-3-29 00:13

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表