浏览器系列之 Cookie 和 SameSite 属性

最新推荐文章于 2025-03-26 10:41:17 发布
最新推荐文章于 2025-03-26 10:41:17 发布
阅读量1.7k 收藏 28
点赞数 21
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_78659329/article/details/143575286
版权

前言

2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie 的理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。

所以本文就给大家介绍一下浏览器的 Cookie 以及这个"火热"的 SameSite 属性。

HTTP

一般我们都会说 “HTTP 是一个无状态的协议”,不过要注意这里的 HTTP 其实是指 HTTP 1.x,而所谓无状态协议,简单的理解就是即使同一个客户端连续两次发送请求给服务器,服务器也识别不出这是同一个客户端发送的请求,这导致的问题就比如你加了一个商品到购物车中,但因为识别不出是同一个客户端,你刷新下页面就没有了……

Cookie

为了解决 HTTP 无状态导致的问题,后来出现了 Cookie。不过这样说可能会让你产生一些误解,首先无状态并不是不好,有优点,但也会导致一些问题。而 Cookie 的存在也不是为了解决通讯协议无状态的问题,只是为了解决客户端与服务端会话状态的问题,这个状态是指后端服务的状态而非通讯协议的状态。

Cookie 介绍

那我们来看下 Cookie,引用下维基百科:

Cookie(复数形态Cookies),类型为「小型文本文件」,指某些网站为了辨别用户身份而储存在用户本地终端上的数据。

作为一段一般不超过 4KB 的小型文本数据,它由一个名称(Name)、一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成,这些涉及的属性我们会在后面会介绍。

Cookie 的查看

尽管我们在浏览器里查看到了 Cookie,这并不意味着 Cookie 文件只是存放在浏览器里的。实际上,Cookies 相关的内容还可以存在本地文件里,就比如说 Mac 下的 Chrome,存放目录就是 ~/Library/Application Support/Google/Chrome/Default,里面会有一个名为 Cookies 的数据库文件,你可以使用 sqlite 软件打开它:

存放在本地的好处就在于即使你关闭了浏览器,Cookie 依然可以生效。

Cookie 的设置

那 Cookie 是怎么设置的呢?简单来说就是

  1. 客户端发送 HTTP 请求到服务器
  2. 当服务器收到 HTTP 请求时,在响应头里面添加一个 Set-Cookie 字段
  3. 浏览器收到响应后保存下 Cookie
  4. 之后对该服务器每一次请求中都通过 Cookie
最低0.47元/天 解锁文章
网络安全系列&网安知识系列CookieSameSite 属性
weixin_54626591的博客
12-18 98
CookieSameSite 属性
【网络安全】Cookie SameSite属性
等风来
11-15 3660
严格限制可能会影响用户体验,例如,当用户点击 GitHub 链接时,无法保持登录状态,因为此时会丢失 GitHub 的 Cookie。当浏览器加载该图片时,它会向 A.com 发送带有 Cookie 的请求,从而使 Facebook 能够识别用户身份并追踪其访问行为。跨站请求伪造(CSRF)攻击是指恶意网站利用用户在其他网站的登录状态,伪造带有正确 Cookie 的请求,执行未授权的操作。用户一旦被诱导点击提交表单,浏览器会自动携带先前的银行 Cookie,将请求发送到银行服务器,从而执行转账操作。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9560
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookieSameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
聊聊 Cookie “火热”的 SameSite 属性
yuqing1008的博客
04-09 4295
作者 |mqyqingfeng 整理 |桔子酱01 前言2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的...
Nginx 解决具有不安全、不正确或缺少 SameSite 属性Cookie方案
最新发布
王小工小工历程
03-26 1089
若后端已设置Cookie属性,Nginx的proxy_cookie_path会完全覆盖原有设置,而proxy_cookie_flags可增量修改‌18。proxy_cookie_flags仅支持Nginx 1.19.3及以上版本,低版本需改用proxy_cookie_path‌。当设置Secure属性SameSite=None时,必须部署有效的HTTPS证书,否则浏览器会拦截Cookie。注:生产环境修改前建议在测试环境验证,避免因配置错误导致会话异常‌。此配置会覆盖后端返回的Cookie属性‌。
CookieSameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
CookieSameSite属性
找到Web
08-27 1545
CookieSameSite属性 Chrome80之后更新了cookie的携带机制,把原来的SameSite属性,由None改成了Lax,这就导致了一些需要使用到第三方cookie的应用产生了异常。如果你这段时间有经常关注控制台的话,可能会发现一些warning: Cookie的SameStie属性用来限制第三方Cookie,从而减少安全风险(防止CSRF攻击)用户追踪。 具体如何使用cookie来防止CSRF攻击,可以参考使用站点Cookie属性防止CSRF攻击,里面基础地介绍了相关的知识。 S
【译】CookieSameSite属性
weixin_33692284的博客
03-14 7649
翻译自:medium.com/compass-sec… 17年的文章,是对 CSRF 很好的防御手段 理解了这个属性也能避免很多开发上的麻烦,例如 iFrame 中的 Cookie 处理 介绍 过去十年,我教我的学生五个 cookie 属性:“path, domain, expire, HttpOnly, Secure”。但是现在我们有了一个新属性 -SameSite。你知道新引入的 Sam...
cookie属性SameSite简介
闲人
11-25 749
CSRF 攻击利用用户的身份已认证的会话,在用户不知情的情况下,向受信任的网站发送请求。例如,用户在网站 A 上登录并具有一个有效的 Cookie,攻击者在网站 B 上创建一个恶意链接或表单,诱使用户点击或提交该链接,进而向网站 A 发送请求。通过设置属性,网站 A 可以有效防止 CSRF 攻击,因为任何来自非同源的请求都无法携带有效的身份 Cookie。这种机制确保了只有在用户直接与网站 A 交互时,相关的 Cookie 才会被发送,从而保护用户免受恶意网站的攻击。
Cookie-SameSite属性详解(CSRF攻击、同站跨站;跨子域)
a1290320893的博客
01-25 2179
Cookie-SameSite属性一、CSRF攻击二、同站跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站跨站 这边对于同站的理解非常重要: Cookie中的
理解前端Cookie中的SameSite属性
Keep trying, keep going
06-12 1388
这意味着,如果用户从另一个网站点击一个链接到当前网站,Cookie会被发送,但如果另一个网站尝试发送一个POST请求到当前网站,Cookie则不会被发送。:Cookie只有在当前网站的上下文中才会被发送,即只有当浏览器的地址栏显示的URL的域名与请求的域名一致时,Cookie才会被包含在请求中。属性可以有效地防止CSRF攻击,因为在CSRF攻击中,攻击者通常会在他们控制的网站上引诱用户点击一个链接或提交一个表单,从而在用户的浏览器中发起一个跨站请求。,使得Cookie只能通过HTTPS发送。
SameSite cookie 理解与设置
隔壁老瓦的专栏
08-15 1828
此功能仅在(HTTPS)、部分或所有中可用。HTTP 响应标头的SameSite属性允许您声明您的 cookie 是否应限制为或同一站点上下文。与 CookieSameSiteSameSite如果未指定cookie 发送行为是. 以前的默认设置是为所有请求发送 cookie。带有必须的 Cookie现在还指定Secure属性(它们需要安全上下文/HTTPS)。如果使用不同的方案 (或)发送来自同一域的 Cookie,则不再将其视为来自同一站点。本文记录了新标准。...
cookieSameSite属性不正确的问题
if_Echo_else的博客
05-22 2722
根据上述,总共三种操作方式,汇整如下:最简单:设置chrom为禁用samesiteDJango版本低于2.1:引入库django-cookie-samesite来处理Django版本高于2.1:直接设置SESSION_COOKIE_SAMESITE=None。
cookie设置SameSite属性
weixin_60552085的博客
12-02 1096
设置了如上相关属性,想设置sameSite属性时发现 javax.servlet.http.cookie没有sameSite这个属性。想对全局的cookie设置sameSite属性该如何操作。当前要对cookie进行加固,springboot项目。
Cookies的SameSite属性
weixsun的博客
04-19 2364
自Chrome 51版本开始,浏览器Cookies 新增了一个SameSite属性,用来防止 CSRF 攻击信息泄漏,更多信息参考chrome Feature: 'SameSite' cookie attribute。 简单回顾什么是CSRF攻击 Cookies往往用来存储用户的身份信息,恶意网站通过设法伪造带有正确Cookies进行 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Coo
CookieSameSite 属性
一劍傾城
07-29 1212
Chrome 51 开始,浏览器Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击用户追踪。 CookieSameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换...
Java中的SameSite Cookie理解与设置
TechWhizKid的博客
09-19 1380
通过设置CookieSameSite属性,我们可以选择限制Cookie是否可以随跨域请求发送到目标站点,并提高应用程序的安全性。None(无限制模式):当Cookie设置为None模式时,它可以随跨域请求发送到目标站点,即使是从不同的站点发送的。然而,为了确保安全性,设置为None模式的Cookie必须同时使用Secure属性,即只能通过HTTPS进行传输。在上面的代码中,我们首先创建了一个名为"myCookie"的Cookie,并设置了它的值为"example value"。如有疑问,请随时提问。
浏览器原理 33 # CSRF攻击:为什么Cookie中有SameSite属性
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
06-15 870
说明 浏览器工作原理与实践专栏学习笔记 CSRF 攻击的典型案例 关于 David 的域名被盗的完整过程感兴趣的可以看看:David Airey:Google’s Gmail security failure leaves my business sabotaged 比如:里面就提到谷歌 Gmail 缺陷的揭露: 受害者在登录 Gmail 时访问一个页面。执行后,该页面对 Gmail 接口之一执行 multipart/form-data POST,并将过滤器注入受害者的过滤器列表。在上面的示例中,攻击者编
苹果的浏览器设置SameSite属性Lax
06-13
如果您需要在iOS 12及以下版本的Safari浏览器中设置CookieSameSite属性,您可以将其设置为Lax,而不是None。同样,需要确保Cookie的Secure属性设置为true,以确保Cookie只能通过HTTPS进行传输。 需要注意的是,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值