csrf 与 samesite

最新推荐文章于 2025-07-01 15:25:57 发布
原创 最新推荐文章于 2025-07-01 15:25:57 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #安全

本文介绍了在当前浏览器环境下,CSRF攻击的难度增加。重点讨论了SameSite属性如何影响跨域请求中的Cookie行为,包括lax、strict和none三种模式的区别。

很多人在学习csrf的时候,书本和文章上都会写到,在a站点面嵌入一个b站点的链接,那么浏览器在请求b页面的资源时会自动带上b的cookie。

不过我觉得这些文章的内容已经有些过时了,近期在解决内部的一个csrf问题时,发现当前浏览器已经默认启用了cookie中的samesite保护机制,这种跨域的csrf想利用已经很难了。

简单来说就是服务端在返回set-cookie时,可以加上一个samesite属性,这个属性有三个值:lax/strict/none

lax:跨域的请求不会带上cookie,不过如果是从a站点跳转到b站点,这个时候会带上b的cookie。

strict:只要是跨域的请求都不会带上目标站点的cookie。

none:不做限制,但是必须配合secure属性使用,否则不生效。

这里需要注意的是,如果在set-cookie时没有设置samesite,那么默认就会采用lax方案。

参考链接:SameSite cookies - HTTP | MDN

一文带你了解CSRFSameSite
josiah_zhao的博客
03-12 942
什么是Cookie 为了解释CSRFSameSite的成因、关系历史,我们首先需要对Cookie有一个基础的了解。 我们知道,HTTP请求本身是无状态的,正常来说,服务端收到请求后并不知道请求者是谁; 所以为了记录用户的标识信息,来提供更好更便捷的网络服务,Cookie应运而生。 就好像我们使用ATM服务(HTTP服务)一样,没有插入银行卡(Cookie)之前,机器并不知道面前的人是谁,有多少余额,甚至不让你使用大部分的功能;但是当你插入之前银行发售(SetCookie)给你的银行卡(Cookie)之后
samesite cookie防御CSRF漏洞
balance的博客
02-20 5089
Chrome 这几天发布的 80 版本更新了 “Same Site Cookie” 的安全特性 下面是一篇介绍文章 https://textslashplain.com/2019/09/30/same-site-cookies-by-default/ 这个特性会导致: 1、web开发者需要重新考虑某些跨域读取数据功能 2、依靠third-party cookie的广告商(比如)可能行不通...
CSRFsamesite浅析
杳若的博客
07-21 6934
Burp的学习之samesite
csrf 系列之Spring Security中的csrf攻击防护(SameSite属性)
console的博客
05-03 2386
防止CSRF攻击的一种新方法是在cookie上指定`SameSite`属性。服务器可以在设置cookie时指定SameSite属性,以表明当来自外部站点时不应该发送cookie。
CSRF(跨站请求伪造)Cookie的SameSite属性(跨站请求伪造已死)
weixin_50464560的博客
08-10 1800
Cookie 的 SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cook...
CSRF 攻击 SameSite 属性
零一魔法
10-30 1143
当用户登录银行网站A(例如bank.com)时,其浏览器会存储认证信息。恶意网站B(例如)可能会包含一个自动提交的请求,模拟用户在银行网站A上的操作,如转账。如果用户被诱骗访问了这个恶意页面,银行网站A将收到带有认证信息的转账请求,从而导致用户的财产损失。常见的处理 CSRF 攻击的方式主要有:CSRF Token(常存储于 session 中)和配置Cookies的SameSite属性。
RustWeb安全CSRF令牌SameSite策略.pdf
05-03
文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅使用。文档仅供学习参考,请勿用作商业用途。 Rust 以内存安全、零成本抽象和并发高效的特性,重塑编程体验。无需垃圾回收,却...
CSRF攻击报错Forbidden (403)的Token验证SameSite Cookie
shejizuopin的博客
05-29 1017
摘要:本文详细解析了CSRF攻击原理及解决方案。CSRF攻击通过伪造用户请求执行未授权操作,常见报错为Forbidden (403)。主要防护措施包括:1)Token验证(如Flask-WTF和Django内置CSRF保护);2)SameSite Cookie设置(Strict/Lax/None)。文中提供各框架的代码示例和对比表格,建议根据应用场景选择合适方案,必要时可结合其他安全措施增强防护。
浏览器原理 33 # CSRF攻击:为什么Cookie中有SameSite属性?
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
06-15 991
说明 浏览器工作原理实践专栏学习笔记 CSRF 攻击的典型案例 关于 David 的域名被盗的完整过程感兴趣的可以看看:David Airey:Google’s Gmail security failure leaves my business sabotaged 比如:里面就提到谷歌 Gmail 缺陷的揭露: 受害者在登录 Gmail 时访问一个页面。执行后,该页面对 Gmail 接口之一执行 multipart/form-data POST,并将过滤器注入受害者的过滤器列表。在上面的示例中,攻击者编
B站 edge浏览器 提示csrf校验失败
最新发布
streetrust的专栏
07-01 5751
B站CSRF校验失败问题解决指南 当在B站遇到"CSRF校验失败"错误时,主要是由于浏览器缓存验证字段过期所致。症状表现为无法收藏、关注或退出登录。解决方案如下:清除浏览器缓存中的B站Cookie数据。具体步骤:进入Edge浏览器设置→隐私→Cookie和站点数据→搜索删除B站相关缓存。该操作安全可靠,不会影响服务器存储的收藏等数据。清除后重新登录即可恢复正常功能。此方法同样适用于其他浏览器类似问题。
关于谷歌Chrom 80版本升级后,跨域Samesite必须有值影响跨域项目的解决
01-09
近日,被Chrom浏览器折磨废了~幸亏公司有各路大神。 问题来源: 对于开发小白来说,这都说的是什么玩意,完全不懂!没关系,我也不懂。 解决方案:首先确定你自己项目的WEB服务器 1、Apache解决方案 首先你需要在httpd.conf文件中开启mod_header模块  LoadModule headers_module modules/mod_headers.so 你打开它以后并不能生效,所以我们还要重写Set-Cookie的头信息,其他的方法我们已经尝试并不可行,目前只有这一种方法可行 Header always edit Set-Cookie path=/ path=
Python扫码登录B站账号获取cookie和csrf
weixin_46256519的博客
05-30 366
这是一个Python实现的B站扫码登录工具,主要功能包括:1) 获取B站登录二维码信息;2) 生成二维码图片;3) 轮询扫码状态并获取cookie;4) 保存登录cookie和csrf token。代码通过requests库B站API交互,使用qrcode库生成二维码,在用户扫码确认后获取登录凭证,并将cookie格式化为请求头格式保存。整个过程包含轮询机制处理不同扫码状态,最终输出可用于后续请求的cookie和csrf token。
【漏洞学习——CSRF】bilibili某处csrf漏洞
Fly_鹏程万里
02-22 3685
漏洞细节 此漏洞可以针对up主,关闭下列三项弹幕权限,使其发稿视频没有弹幕! csrf位置在用户中心-->过滤管理中 http://member.bilibili.com/#gl_manage poc <html> <head> <meta http-equiv="Content-Type" content="text/html; ch...
chrome浏览器解决跨域请求三种方案
热门推荐
Fonlin的博客
08-12 4万+
在chrome浏览器地址栏输入chrome://flags并回车 在搜索栏中输入SameSite by default cookies搜索,并禁用如图中的两项设置 ,改为Disabled即可 点击右下键ReLaunch重启浏览器即可
跨域cookie携带问题总结
HouGISer的博客
01-20 1552
我们知道很多场景,都需要前端请求带上cookie,例如用户鉴权、登陆校验等。而有些场景下,我们会发现请求不会带上cookie,这是为什么呢?
说说你对Cookie的SameSite属性的理解
王铁柱666的博客
12-08 722
综上所述,Cookie的SameSite属性是前端开发中一个重要的安全工具,它可以帮助我们更好地保护用户数据和防止跨站请求伪造攻击。通过合理选择和使用SameSite属性的不同模式,我们可以在确保用户体验的同时提高应用程序的安全性。Cookie的SameSite属性在前端开发中是一个重要的安全特性,它主要用于控制Cookie在跨站点请求中的发送行为,从而帮助防止跨站请求伪造(CSRF)攻击。
【教程】chrome关闭跨域策略cors、samesite,跨域带上cookie
yunmuq的博客
06-30 6181
谷歌浏览器允许跨域origin,disable samesite,方便本地开发调试,测试csrf跨站请求伪造漏洞。犹记得两年前,测试csrf漏洞时得心应手。苦了本地调试的开发人员 -disable-site-isolation-trials --disable-web-security --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure --user-data-dir......
iframe、SameSiteCEF
顺其自然~专栏
06-09 1230
背景 本人使用CEF(或是Chrome)来加载开发的前端页面,其中使用iframe嵌入了第三方页面,在第三方页面中需要发送cookie到后端,然而加载会报错,第三方页面后端无法接受到Cookie。 原因 由于CEF(Chrome内核)的安全策略,在51版本以前、80版本以后,绝大多数情况下是禁止嵌入的iframe提交Cookie的(下文会列出哪些禁止),所以需要浏览器配置策略来允许iframe提交Cookie,这个策略就是SameSiteSameSite 属性可以让 Cookie 在跨站请求时不
CSRF攻击和防御
mubanxia的博客
05-28 387
CSRF攻击和防御 CSRF(跨站点请求伪造)存在于这样的情况,一个宅A登陆B站,输入了用户名和密码,通过验证后,B站产生cookie信息并返回给浏览器。A没有关闭B站,在同一浏览器下打开了黑客发来的网站C,网站C中隐藏着一段功能为获取B站cookie的代码。此时恰巧B站和A的session尚未过期,浏览器的cookie还存有A的登陆信息。那么A会在自己不知情的情况下,用A自己的身份给黑客发去cookie。 CSRF漏洞检测: HTTP的头含有一个referer字段,这个字段包含了HTTP请求的来源地址。如
Rust Web安全实践:CSRF令牌SameSite策略详解
资源摘要信息:《RustWeb安全CSRF令牌SameSite策略》是一篇面向现代Web开发者的技术文档,重点围绕在Rust语言环境下构建Web应用时所面临的安全挑战,尤其是CSRF(跨站请求伪造)攻击的防范机制SameSite Cookie...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值