Cookie之SameSite属性

最新推荐文章于 2025-04-15 21:40:27 发布
最新推荐文章于 2025-04-15 21:40:27 发布
阅读量1.5k 收藏 2
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuchen092832/article/details/108263230
版权
本文介绍了Cookie的SameSite属性,该属性用于限制第三方Cookie,减少安全风险并防止CSRF攻击。主要内容包括Strict、Lax和None三种模式的解释及应用场景。Chrome80后,默认设置从None变为Lax,导致一些应用出现异常。设置为None需配合Secure属性,并注意不支持此属性的老版本浏览器。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Cookie之SameSite属性

Chrome80之后更新了cookie的携带机制,把原来的SameSite属性,由None改成了Lax,这就导致了一些需要使用到第三方cookie的应用产生了异常。如果你这段时间有经常关注控制台的话,可能会发现一些warning:

Cookie的SameStie属性用来限制第三方Cookie,从而减少安全风险(防止CSRF攻击)和用户追踪。

具体如何使用cookie来防止CSRF攻击,可以参考使用站点Cookie属性防止CSRF攻击,里面基础地介绍了相关的知识。

SameSite属性

SameSite属性用来限制第三方 Cookie,从而减少安全风险,可以设置成三个值:

  • Strict
  • Lax
  • None

1.Strict

Set-Cookie: CookieName=CookieValue; SameSite=

最低0.47元/天 解锁文章
找到Web
关注
【网络安全】Cookie SameSite属性
等风来
11-15 3660
严格限制可能会影响用户体验,例如,当用户点击 GitHub 链接时,无法保持登录状态,因为此时会丢失 GitHub 的 Cookie。当浏览器加载该图片时,它会向 A.com 发送带有 Cookie 的请求,从而使 Facebook 能够识别用户身份并追踪其访问行为。跨站请求伪造(CSRF)攻击是指恶意网站利用用户在其他网站的登录状态,伪造带有正确 Cookie 的请求,执行未授权的操作。用户一旦被诱导点击提交表单,浏览器会自动携带先前的银行 Cookie,将请求发送到银行服务器,从而执行转账操作。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9560
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookieSameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
CookieSameSite属性
热门推荐
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
SameSite属性Cookie的影响?
最新发布
qq_35974860的博客
04-15 43
由于SameSite属性的不同设置方式会对Cookie的传输安全性产生影响,因此不同的SameSite属性设置方式会对Cookie的安全性产生不同的影响。同时,由于SameSite属性的实施可以有效地防范跨站脚本攻击,因此可以提高Web应用的可靠性和安全性,提高用户对于Web应用的信任度和满意度。总之,SameSite属性Cookie的影响非常重要,它不仅可以提高Cookie的传输安全性,还可以防范跨站脚本攻击和提高用户体验和隐私保护。同时,还需要不断完善相关技术和标准,以满足用户对于隐私保护的需求。
swfupload在xp系统上360极速模式报302错误解决方法
郭祭酒的博客
02-09 919
swfupload有时在谷歌或火狐内核丢失session,有拦截器验证登录时会报302错误。 解决思路是在前台获取jsessionid,上传时一并传入后台,在拦截器通过请求的jsessionid获取session,再进行登录验证。 1.前端通过<input type="hidden" id="ssid" value="<%=request.getSession().getId()%>"/>获取
【译】CookieSameSite属性
weixin_33692284的博客
03-14 7649
翻译自:medium.com/compass-sec… 17年的文章,是对 CSRF 很好的防御手段 理解了这个属性也能避免很多开发上的麻烦,例如 iFrame 中的 Cookie 处理 介绍 过去十年,我教我的学生五个 cookie 属性:“path, domain, expire, HttpOnly, Secure”。但是现在我们有了一个新属性 -SameSite。你知道新引入的 Sam...
swfupload在火狐(firefox)下失效(302错误)的一种情况以及分析
呱哇鸟
03-18 324
最近用了一下swfupload,因为一些定制化需求,感觉这个东西做得挺不错的。 然而在火狐下使用时抛出了 302 错误。 在网上搜索很多朋友都说是session的问题,火狐不保存session,需要传递sessionID,说的很不清楚。   实际上情况如此:        火狐下使用swfupload不保存session的确没错,但是如果你在这个上传过程中不需要使用session的话,是...
浏览器系列之 CookieSameSite 属性
2301_78659329的博客
11-06 1749
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie 的理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。
CookieFix:修复Magento2.22.32.4 Cookie SameSite属性
05-07
Cookie SameSite属性的扩展 自Chrome 80以来,此扩展程序正在调整Cookie SameSite属性问题。 注意:此扩展名是实验性的。 特征 将SameSite属性添加到Magento会话cookie中。 对于3DS付款,付款网关倾向于通过POST将...
cookie属性SameSite简介
闲人
11-25 749
CSRF 攻击利用用户的身份和已认证的会话,在用户不知情的情况下,向受信任的网站发送请求。例如,用户在网站 A 上登录并具有一个有效的 Cookie,攻击者在网站 B 上创建一个恶意链接或表单,诱使用户点击或提交该链接,进而向网站 A 发送请求。通过设置属性,网站 A 可以有效防止 CSRF 攻击,因为任何来自非同源的请求都无法携带有效的身份 Cookie。这种机制确保了只有在用户直接与网站 A 交互时,相关的 Cookie 才会被发送,从而保护用户免受恶意网站的攻击。
SameSite是什么?
0xuu的博客
07-04 717
其方案就是给 Cookie 新增一个属性,用这个属性来控制什么情况下可以发送 Cookie,这个属性就是我们今天要讨论的 SameSite 属性。当然,前提是用户浏览器支持 SameSite 属性。稍微尴尬的是有些企业还没有这个觉悟,比如我们常用的 Java Web 开发底层框架,Servlet 的 Cookie 类还没有支持这个新的属性,需要我们自己去实现。就像对抗疫情一样,Web 安全治理需要整个行业技术生态的支持,从这个角度看,我们互联网技术人应该积极响应和支持 Google 的这个策略。
聊聊 Cookie “火热”的 SameSite 属性
yuqing1008的博客
04-09 4295
作者 |mqyqingfeng 整理 |桔子酱01 前言2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的...
CookieSameSite 属性
日积月累的博客
11-22 7400
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就致使了阿里系的不少应用都产生了问题,为此还专门成立了小组,推进各 BU 进行改造,目前阿里系基本已经改造完成。全部的前端团队估计都收到过通知,也着实加深了一把你们对于 Cookie 的理解,因此极可能就此出个面试题,而即使不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能代表你对前端时事的跟进,二还能借此引伸到前端安全方面的内容,为你的面试加分。前端
java swfupload 302错误_解决swfupload.swf在所有浏览器中发出的多余请求导致的302错误...
weixin_35294082的博客
02-13 154
在项目先是使用了uploadify,后来发现在IE下总会引起程序中的错误.先说下使用uploadify的这个模块,项目用的是Thinkphp框架,URL解释使用的PATHINFO模式,请求的页面是一个商品编辑页面,/mgr/goods/edit/24.html(看得懂吧?分组/控制器/方法/参数/后缀).在edit这个方法里,做了常规判断,如果获取的参数id=24在数据库中查不到,则跳转回请求时的...
Cookie-SameSite属性详解(CSRF攻击、同站和跨站;跨子域)
a1290320893的博客
01-25 2179
Cookie-SameSite属性一、CSRF攻击二、同站和跨站三、Samesite存在的作用四、Samesite三个属性五、测试 一、CSRF攻击 我们知道cookie作为标识用户身份的存在,可以帮助我们不需要输入账号密码进行登录就可以完成认证执行某些操作;假设我们在访问第三方网站时,网站页面存在一条ajax请求是Post请求地址为:执行银行账户的转账操作,由于你的浏览器内包含cookie,那么这条请求就会携带cookie然后请求就会被执行; 二、同站和跨站 这边对于同站的理解非常重要: Cookie中的
CSRF之samesite浅析
杳若的博客
07-21 6732
Burp的学习之samesite
sameSite有什么用
m0_57236802的博客
08-16 255
是一个在2016年引入的 HTTP cookie 属性,旨在增强 Web 的安全性,特别是减少跨站请求伪造 (CSRF) 攻击。属性决定了在何种情境下,cookie 应该被发送到服务器。可以有效地阻止攻击者利用用户在另一个站点上的有效会话。近年来,浏览器开始更加强调隐私和安全性,因此默认的。允许开发者在保持功能的同时,提高其站点的安全性。因此,为你的cookie明确设置。可以减少跟踪用户在多个站点上的行为的能力。行为可能会发生变化,尤其是在没有明确设置。: 通过限制第三方cookie的发送,
java swfupload 302_swfupload Upload Error 302 错误解决办法
weixin_42497839的博客
02-16 534
swfupload 在某些浏览器下上传文件时会报Upload Error 302错误,解决方法是需要前端传session_id给服务器端,具体如下:1. 前端调用位置swfuPubThumbnailUploader = new SWFUpload({upload_url : "/upload_thumbnail",flash_url : "/Flash/swfupload.swf",file_si...
nginx配置 设置cookiesamesite属性
04-25
好的,对于这个问题,可以在nginx配置中添加以下代码: ``` location / { add_header Set-Cookie "name=value;...注意,如果使用了SameSite属性,则必须同时设置Secure属性,以保证cookie只能在https安全连接中传输。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值