說一說SameSite是什么及SameSite有什么用

今天來說一下關(guān)于SameSite是什么及SameSite有什么用這方面的一些訊息，不少朋友對于SameSite是什么及SameSite有什么用這方面的信息頗感興趣的。小編今天就為此整理一些相關(guān)的訊息，希望對有需要的朋友有所幫助。

Chrome 51 開始，瀏覽器的 Cookie 新增加了一個 SameSite 屬性，用來防止 CSRF 攻擊和用戶追蹤。Cookie 的 SameSite 屬性用來限制第三方 Cookie，從而減少安全風(fēng)險。

SameSite

Web 前端安全，從影響面看排名前兩位的就是 XSS 和 CSRF，其基本原理都是攻破了瀏覽器同源策略的限制。CSRF 漏洞目前的措施一般是驗證 referer 或者是用安全 token。而 google 則希望從標(biāo)準(zhǔn)層面去根治這個排名第二的前端安全漏洞。其方案就是給 Cookie 新增一個屬性，用這個屬性來控制什么情況下可以發(fā)送 Cookie，這個屬性就是我們今天要討論的 SameSite 屬性。

SameSite 屬性有三個枚舉值，分別是 strict/lax/none。Strict 最為嚴(yán)格，完全禁止第三方 Cookie，跨站點時，任何情況下都不會發(fā)送 Cookie。換言之，只有當(dāng)前網(wǎng)頁的 URL 與請求目標(biāo)一致，才會帶上 Cookie。Lax 規(guī)則稍稍放寬，大多數(shù)情況也是不發(fā)送第三方 Cookie，但是導(dǎo)航到目標(biāo)網(wǎng)址的 Get 請求除外。

設(shè)置了 Strict 或 Lax 以后，基本就杜絕了 CSRF 攻擊。當(dāng)然，前提是用戶瀏覽器支持 SameSite 屬性。Chrome 計劃將 Lax 變?yōu)槟J設(shè)置。這時，網(wǎng)站可以選擇顯式關(guān)閉 SameSite 屬性，將其設(shè)為 None。不過，前提是必須同時設(shè)置 Secure 屬性(Cookie 只能通過 HTTPS 協(xié)議發(fā)送)，否則無效。

對于依賴三方 Cookie 的業(yè)務(wù)，比如登錄組件，商業(yè)化組件等，需要做技術(shù)改造來適應(yīng) Google 的這個調(diào)整。就像對抗一樣，Web 安全治理需要整個行業(yè)技術(shù)生態(tài)的支持，從這個角度看，我們互聯(lián)網(wǎng)技術(shù)人應(yīng)該積極響應(yīng)和支持 Google 的這個策略。

稍微尷尬的是有些企業(yè)還沒有這個覺悟，比如我們常用的 Java Web 開發(fā)底層框架，Servlet 的 Cookie 類還沒有支持這個新的屬性，需要我們自己去實現(xiàn)。希望 Google 這一舉動能反向驅(qū)動整個行業(yè)生態(tài)，共同來根治 CSRF 漏洞?？梢灶A(yù)見 3-5 年以后，互聯(lián)網(wǎng)的江湖將不再存在 CSRF 這個漏洞了。

以上就是關(guān)于SameSite是什么及SameSite有什么用這方面的一些信息了 小編整理的這些訊息希望對童鞋們有所幫助