背景
我最近看到了 CSRF 攻击,然后说设置了 Cookie 的 SameSite 属性可以一定程度上防止 CSRF 攻击,让我想了解一下这个 SameSite 属性
SameSite 属性
Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。
它可以设置三个值。
-
Strict
-
None
-
Lax(默认值)
Strict
Strict 最为严格,Cookies 只会在第一方上下文中发送,不会与第三方网站发起的请求一起发送。换言之,只有当前网页的 URL 与 Cookie 的 domain 一致时,才会带上 Cookie(但是 Cookie 也需要满足一定的条件http 请求什么情况下会携带 cookie)。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
Lax(默认值)
Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;
导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。详见下表。
| 请求类型 | 示例 | 没有设置 SameSite | Lax |
|---|---|---|---|
| 链接 | <a href="..."></a> |
发送 Cookie | 发送 Cookie |
| 预加载 | <link rel="prerender" href="..."/> |
发送 Cookie | 发送 Cookie |
| GET 表单 | <form method="GET" action="..."> |
发送 Cookie | 发送 Cookie |
| POST 表单 | <form method="POST" action="..."> |
发送 Cookie | 不发送 |
| iframe | <iframe src="..."></iframe> |
发送 Cookie | 不发送 |
| AJAX | $.get("...") |
发送 Cookie | 不发送 |
| Image | <img src="..."> |
发送 Cookie | 不发送 |
设置了 Strict 或 Lax 以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。
None
网站可以选择显式关闭 SameSite 属性,将其设为 None。不过,前提是必须同时设置 Secure 属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
- 无效设置
Set-Cookie: widget_session=abc123; SameSite=None
- 有效设置
Set-Cookie: widget_session=abc123; SameSite=None; Secure
补充
同源和同站的区别
- 同源:协议(scheme)+ 主机名(hostname)+ 端口号(port) 完全一致。
- 同站:eTLD(有效顶级域名)+1 (二级域名)完全一致。
以 https://www.example.com:443 为例,下面给出了一系列的网址是否与其同源或同站的解释:
| 对比网址 | 是否同源 | 是否同站 |
|---|---|---|
https://www.other.com:443 |
否,域名不一致 | 否,二级域名不一致 |
https://example.com:443 |
否,域名不一致 | 是,子域名不影响 |
https://login.example.com:443 |
否,域名不一致 | 是,子域名不影响 |
http://www.example.com:443 |
否,协议不一致 | 是,协议不影响 |
https://www.example.com:80 |
否,因为 port 不同 | 是,端口号不影响 |
https://www.example.com:443 |
是,完全一致 | 是 |
https://www.example.com |
是,默认端口号 443 | 是 |
第一方 Cookie 和第三方 Cookie
第一方 Cookie 是由地址栏中列出的网站域设置的 Cookie,即 Cookie 设置的 domain 和当前网站的域名相同或者是当前网站的域名的二级域名,而第三方 Cookie 来自非当前网站域设置的 Cookie
Cookie 的同源策略
Cookie 中的同源只关注域名(有效二级域名相同即可),忽略协议和端口。
所以https://localhost:8080/和http://localhost:8081/的 Cookie 是共享的。
网友评论