IIS的SameSite Cookies

最新推荐文章于 2025-06-07 10:57:10 发布
原创 最新推荐文章于 2025-06-07 10:57:10 发布 · 4.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何在不支持SameSite Cookies的环境中,尤其是针对IIS服务器,通过URL重写模块来实现这一功能。步骤包括安装IIS URL重写模块、配置服务器级别的规则,以及使用web.config文件为单个站点添加规则。尽管一些应用程序服务器和语言尚未原生支持,但此方法提供了一种解决跨站请求伪造问题的途径。

SameSiteCookies是缓解跨站请求伪造攻击的好技术。唯一的缺点是,并不是所有的浏览器都支持它们(哎呀……看着你IE)。

您可能会发现的另一个缺点是,大多数应用程序服务器软件尚不支持它们,例如javax.servlet.http.Cookie尚不支持(因此,像CFML之类的语言也可能在等待添加),PHP具有RFC,希望将其添加到其中。在7.3中,ASP.NET Core已将它们添加到2.0和.NET Framework 4.7.2中。

如果当前平台尚不支持它们,但是您想使用它们,则可以使用Web服务器将SameSite属性附加到Set-Cookehttp响应标头。

使用IIS URL重写模块在IIS中执行以下操作:

  1. 安装用于IIS的Microsoft URL重写:http://www.iis.net/downloads/microsoft/url-rewrite
  2. 关闭IIS,然后再次将其打开。
  3. 在IIS的根服务器级别节点上,单击(这样就适用于服务器上的所有站点),
  4. 双击URL重写图标
  5. 点击添加规则
  6. 出站规则下,选择空白规则
  7. 给它起一个任意的名字,例如 AddSameSiteCookieFlag
  8. 在“匹配”下,选择“匹配范围”: Server Variable
  9. 对于变量名,请使用: RESPONSE_Set-Cookie
  10. 可变值: Matches Pattern
  11. 使用方法: Regular Expressions
  12. 模式:(^(.*)(CFID|CFTOKEN|JSESSIONID)(=.*)$仅适用于名为CFIDE CFTOKEN或的Cookie JSESSIONID,根据需要进行修改)
  13. 在“操作”下,“操作类型”: Rewrite
  14. 动作属性:值:({R:0};SameSite=lax如果您现有的cookie具有结尾的分号,您可以在此处将其删除,也可以考虑使用Strict代替Lax)。
  15. 选中替换现有服务器变量
 

或以下是使用web.config文件将其添加到单个站点的方法:

 

<rewrite>
            <outboundRules>
                <rule name="AddSameSiteCookieFlag">
                    <match serverVariable="RESPONSE_Set-Cookie" pattern="^(.*)(CFID|CFTOKEN|JSESSIONID)(=.*)$" />
                    <action type="Rewrite" value="{R:0};SameSite=lax" />
                </rule>
            </outboundRules>
</rewrite>
http协议入门之 SameSite cookies
蛐蛐的博客
09-26 937
响应标头 Set-Cookie 的SameSite属性允许声明 cookie 是否应限制为第一方或同一站点上下文。
IIS - 会话cookie中缺少HttpOnly属性
热门推荐
09-09 21万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选中图中节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config中添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
IIS跨域配置,支持身份验证,asp.net后端无需修改代码
Mr.Xiao
01-01 1010
iis通过配置文件灵活支持跨域请求的方法,同时支持身份验证。
Cookie Samesite简析
の博客
05-16 1341
Cookie Samesite简析
Cookie 的 SameSite 属性
weixin_55802150的博客
08-03 2011
不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 9725
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
浏览器系列之 Cookie 和 SameSite 属性
2301_78659329的博客
11-06 1939
2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的很多应用都产生了问题,为此还专门成立了小组,推动各 BU 进行改造,目前阿里系基本已经改造完成。所有的前端团队估计都收到过通知,也着实加深了一把大家对于 Cookie 的理解,所以很可能就此出个面试题,而即便不是面试题,当问到 HTTP 相关内容的时候,不妨也扯到这件事情来,一能表明你对前端时事的跟进,二还能借此引申到前端安全方面的内容,为你的面试加分。
Chrome v80+ SameSite问题解决之路
编码行者的博客
03-25 1102
jdk生成临时数字证书 在命令行输入如下: keytool -genkey -alias "tomcat" -keyalg "RSA" -keystore "C:\tomcat-8.5-64\tomcat.keystore" -alias:证书的名字 -keyalg:证书签名算法 -validity:证书有效时间 -keystore:生成文件存放路径 2.配置tomcat 的server.xml文件 <Connector port="8443" protocol="org.apache.coyo
asp.net下cookies的丢失和中文乱码
10-30
3. **安全性设置**:现代浏览器的安全性增强措施(如SameSite属性)也可能导致Cookies在某些场景下无法正常发送或接收。 4. **清除操作**:用户手动清除了浏览器缓存中的Cookies,或者由于某种原因(如脚本错误)...
8、深入解析IIS下PHP的配置与安全设置
最新发布
e3f4g5的博客
06-07 108
本文深入解析了在IIS环境下PHP的配置与安全设置,涵盖基础配置、多版本并行运行、不同配置设置、应用程序结构规划、安全相关PHP配置、用户认证机制、身份权限管理、请求过滤器及HTTPS加密连接等内容。通过图文界面和命令行两种方式指导完成PHP处理程序映射和FastCGI配置,并提供全面的安全策略,确保PHP应用高效稳定运行。
IIS实现反向代理时Cookie域的设置方法
01-03
反向代理 神马是反向代理?指以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给Internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。我们可以通过反向代理实现负载平衡、突破防火墙限制等一些非常实用的Web服务器功能,目前反向代理不管在私有云还是公有云的虚拟机上用的很多很多。 引用 IIS通过URL重写可以实现反向代理,通过简单的配置即可以将请求转发到其它内部站点。 此时被代理的所有站点的cookie的域(domain)会自动设置为提供反向代理功能的站点的域,这一般来说没有问题。但是在多站点共享cookie时会存在
iis中cookie的设置方法(二)
专栏
11-19 3900
另一种解决方法:用十六进制unicode转码:我使用的情况是:服务器和客户端写cookie,只在后台读cookie后台存cookie: /*updateby:2009/11/17        *      * 将字符串转为十六进制unicode编码     *      *      * 返回值:dst---如:67686d6635     *      */    pu
iis中cookie的设置方法(三)
专栏
01-22 1万+
另一种js存cookie的方法 : 页面存取cookie,后台存取cookie,iis中也不会出错 页面:存cookie      js:            function GridRowChanged(e)            {               var myCode= e.row.GetDataControllerRow().GetValueByFieldN
IIS 相关设置
u010197227的博客
09-08 319
下载并安装URL Rewrite : The Official Microsoft IIS Site
聊聊 Cookie “火热”的 SameSite 属性
yuqing1008的博客
04-09 4380
作者 |mqyqingfeng 整理 |桔子酱01 前言2 月份发布的 Chrome 80 版本中默认屏蔽了第三方的 Cookie,在灰度期间,就导致了阿里系的...
后端代码设置Samesite属性
Artisan_w
03-05 4015
Samesite属性设置 目的:防御CSRF Cookie的属性SameSite如果不配置或者配置为none,则存在CSRF风险。 SameSite的取值可以为: (1)unset(默认)。这种情况浏览器可能会采用自己的策略。 (2)none。存在CSRF风险。 (2)lax。大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。 (3)strict。完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带
IIS配置多域名跨域,和跨域session保持
bigcarp的专栏
12-14 2490
搜索了一轮,自己实践发现iis中填多条Access-Control-Allow-Origin记录、逗号分隔、正则表达式这些是不行的。另外好像无论Ngxin还是Tomcat等都要rewrite之类的方法。由于仅仅是测试,所以暂时用*通配符算了。记录一下参考,要的时候再研究。
彻底理解浏览器cookie策略
qq_43783527的博客
10-06 2803
(1)cookie存在的原因因为http请求是无状态的,同一个用户从浏览器向A服务器发送两次请求,A服务器无法判断这两次请求是否是同一个用户。所以,浏览器提供了客户端携带cookie技术,让每次请求有状态。(2)后端使用cookie进行登录状态记录流程1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。同源策略是防止CSRF攻击的重要手段。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能使用A的cookie,除非这两个网页“同源”。协议相同。
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值