說一說SameSite是什么及SameSite有什么用

今天來說一下關(guān)于SameSite是什么及SameSite有什么用這方面的一些訊息，不少朋友對(duì)于SameSite是什么及SameSite有什么用這方面的信息頗感興趣的。小編今天就為此整理一些相關(guān)的訊息，希望對(duì)有需要的朋友有所幫助。

Chrome 51 開始，瀏覽器的 Cookie 新增加了一個(gè) SameSite 屬性，用來防止 CSRF 攻擊和用戶追蹤。Cookie 的 SameSite 屬性用來限制第三方 Cookie，從而減少安全風(fēng)險(xiǎn)。

SameSite

Web 前端安全，從影響面看排名前兩位的就是 XSS 和 CSRF，其基本原理都是攻破了瀏覽器同源策略的限制。CSRF 漏洞目前的措施一般是驗(yàn)證 referer 或者是用安全 token。而 google 則希望從標(biāo)準(zhǔn)層面去根治這個(gè)排名第二的前端安全漏洞。其方案就是給 Cookie 新增一個(gè)屬性，用這個(gè)屬性來控制什么情況下可以發(fā)送 Cookie，這個(gè)屬性就是我們今天要討論的 SameSite 屬性。

SameSite 屬性有三個(gè)枚舉值，分別是 strict/lax/none。Strict 最為嚴(yán)格，完全禁止第三方 Cookie，跨站點(diǎn)時(shí)，任何情況下都不會(huì)發(fā)送 Cookie。換言之，只有當(dāng)前網(wǎng)頁的 URL 與請(qǐng)求目標(biāo)一致，才會(huì)帶上 Cookie。Lax 規(guī)則稍稍放寬，大多數(shù)情況也是不發(fā)送第三方 Cookie，但是導(dǎo)航到目標(biāo)網(wǎng)址的 Get 請(qǐng)求除外。

設(shè)置了 Strict 或 Lax 以后，基本就杜絕了 CSRF 攻擊。當(dāng)然，前提是用戶瀏覽器支持 SameSite 屬性。Chrome 計(jì)劃將 Lax 變?yōu)槟J(rèn)設(shè)置。這時(shí)，網(wǎng)站可以選擇顯式關(guān)閉 SameSite 屬性，將其設(shè)為 None。不過，前提是必須同時(shí)設(shè)置 Secure 屬性(Cookie 只能通過 HTTPS 協(xié)議發(fā)送)，否則無效。

對(duì)于依賴三方 Cookie 的業(yè)務(wù)，比如登錄組件，商業(yè)化組件等，需要做技術(shù)改造來適應(yīng) Google 的這個(gè)調(diào)整。就像對(duì)抗一樣，Web 安全治理需要整個(gè)行業(yè)技術(shù)生態(tài)的支持，從這個(gè)角度看，我們互聯(lián)網(wǎng)技術(shù)人應(yīng)該積極響應(yīng)和支持 Google 的這個(gè)策略。

稍微尷尬的是有些企業(yè)還沒有這個(gè)覺悟，比如我們常用的 Java Web 開發(fā)底層框架，Servlet 的 Cookie 類還沒有支持這個(gè)新的屬性，需要我們自己去實(shí)現(xiàn)。希望 Google 這一舉動(dòng)能反向驅(qū)動(dòng)整個(gè)行業(yè)生態(tài)，共同來根治 CSRF 漏洞?？梢灶A(yù)見 3-5 年以后，互聯(lián)網(wǎng)的江湖將不再存在 CSRF 這個(gè)漏洞了。

以上就是關(guān)于SameSite是什么及SameSite有什么用這方面的一些信息了 小編整理的這些訊息希望對(duì)童鞋們有所幫助