Mozilla公司在上周宣布,即将推出的Firefox 60将引入对同一站点Cookie属性的支持,以保护用户免受CSRF(跨站请求伪造)攻击。
CSRF攻击允许恶意行为者通过让恶意行为者访问特制网页来代表经过身份验证的用户在网站上执行未经授权的活动。这些类型的攻击利用了以下事实:对网站的每个请求都包含Cookie(储存在用户本地终端上的数据),许多网站依靠这些Cookie进行身份验证。
Mozilla指出,当前的Web架构不允许网站可靠地确定请求是由用户合法发起,还是来自第三方脚本。“为了弥补,同一站点的Cookie属性允许一个Web应用程序通知浏览器,只有当请求来自cookie来自的网站时,才应该发送cookie,”Mozilla安全小组成员在一篇博客文章中解释道,“与URL栏中出现的URL不同的请求,将不会包含带有这个新属性的cookie。”
目前计划于5月9日发布的Firefox 60将尝试使用具有以下两个值之一的相同站点属性来保护用户免受CSRF攻击:严格或松散。
在严格模式下,当用户点击来自外部站点的入站链接时,即使它们具有活动会话,它们也将被视为未认证,因为cookie不会被发送。在宽松模式下,当用户安全地从外部网站导航时(例如通过链接),Cookie将被发送,但不会在跨域子请求(例如为图像或帧创建的子请求)上发送Cookie。宽松模式专为可能与严格模式不兼容的应用程序而设计。
网友评论