眼下,科技越来越发达,人们逐渐进入了信息时代!今日为大家带来科技圈的消息,其中要说到说一说SameSite是什么及SameSite有什么用的消息一起来关注一下吧!
今天来说一下关于SameSite是什么及SameSite有什么用这方面的一些讯息,不少朋友对于SameSite是什么及SameSite有什么用这方面的信息颇感兴趣的。小编今天就为此整理一些相关的讯息,希翼对有需要的朋友有所帮助。
Chrome 51 开始,扫瞄器的 Cookie 新增加了一个 SameSite 属性,用来防止 CSRF 攻击和用户追踪。Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险。
SameSite
Web 前端安全,从影响面看排名前两位的就是 XSS 和 CSRF,其基本原理都是攻破了扫瞄器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。而 google 则希翼从标准层面去根治这个排名第二的前端安全漏洞。其方案就是给 Cookie 新增一个属性,用这个属性来操纵什么情况下可以发送 Cookie,这个属性就是我们今天要讨论的 SameSite 属性。
SameSite 属性有三个枚举值,分别是 strict/lax/none。Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,惟独当前网页的 URL 与请求目标一致,才会带上 Cookie。Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
设置了 Strict 或 Lax 以后,基本就杜绝了 CSRF 攻击。固然,前提是用户扫瞄器支持 SameSite 属性。Chrome 计划将 Lax 变为默认设置。这时,网站可以选择显式关闭 SameSite 属性,将其设为 None。不过,前提是必须同时设置 Secure 属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
对于依赖三方 Cookie 的业务,比如登录组件,商业化组件等,需要做技术改造来适应 Google 的这个调整。就像对抗疫情一样,Web 安全管理需要整个行业技术生态的支持,从这个角度看,我们互联网技术人应该积极响应和支持 Google 的这个策略。
略微尴尬的是有些企业还没有这个觉悟,比如我们常用的 Java Web 开辟底层框架,Servlet 的 Cookie 类还没有支持这个新的属性,需要我们自己去实现。希翼 Google 这一举动能反向驱动整个行业生态,共同来根治 CSRF 漏洞。可以预见 3-5 年以后,互联网的江湖将不再存在 CSRF 这个漏洞了。
以上就是关于SameSite是什么及SameSite有什么用这方面的一些信息了 小编整理的这些讯息希翼对童鞋们有所帮助