今天,我们来谈谈什么是SameSite以及它的用途。很多朋友对这个信息感兴趣。边肖今天整理了一些相关资料,希望能帮助到有需要的朋友。
从Chrome 51开始,浏览器Cookie中添加了一个SameSite属性,以防止CSRF攻击和用户跟踪。cookie的SameSite属性用于限制第三方cookie,从而降低安全风险。
相同地点
Web前端安全,从影响力来看,前两位是XSS和CSRF,他们的基本原理是突破浏览器同源策略的限制。CSRF漏洞的现有措施一般是验证referer或使用安全令牌。谷歌希望从标准层面根治这个排名第二的前端安全漏洞。方案是给cookies加一个属性,用这个属性控制cookies什么时候可以发送。这个属性就是我们今天要讨论的SameSite属性。
SameSite属性有三个枚举值,分别是strict/lax/none。严格是最严格的。第三方cookies是完全禁止的。跨站点时,任何情况下都不会发送Cookies。也就是说,只有当前网页的URL与请求目标一致,才会带Cookie。宽松的规则稍微宽松。大多数情况下,不会发送第三方Cookie,但导航到目标URL的Get请求除外。
设定严格或宽松后,CSRF的攻击基本上被消除了。当然前提是用户的浏览器支持SameSite属性。Chrome计划将Lax改为默认设置。此时,网站可以选择显式关闭SameSite属性并将其设置为None。但前提是必须同时设置安全属性(Cookie只能通过HTTPS协议发送),否则无效。
对于依赖三方Cookie的企业,如登录组件、商业组件等。需要进行技术改造来适应谷歌的这种调整。就像抗击疫情一样,Web安全治理需要整个行业技术生态的支持。从这个角度来说,我们互联网技术人员应该积极响应和支持谷歌的这一战略。
有点尴尬的是,有些企业还没有这个意识,比如我们常用的Java Web开发框架。Servlet的Cookie类还不支持这个新属性,所以我们需要自己实现它。希望谷歌的动能能够反向驱动整个行业生态,共同治愈CSRF漏洞。可以预见,3-5年后,CSRF将不再存在于互联网的江湖中。
以上是关于什么是SameSite,SameSite有什么用途的一些信息。边肖收集的信息希望对童鞋们有所帮助。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!