Denne artikel er en spejling af maskinoversættelse, klik venligst her for at springe til den oprindelige artikel.

Architect_Programmer_Code Landbrugsnetværk»Arkitekt Programmering Teknisk chat Forhindre CSRF-angreb på cookiens SameSite-egenskab
Udsigt: 7822|Svar: 1

Forhindre CSRF-angreb på cookiens SameSite-egenskab

[Kopier link]
Opslået den 17-4-2022 kl. 20:24:47 | | | |
SameSite-egenskaben

Fra og med Chrome 51 er en ny SameSite-attribut blevet tilføjet til browserens cookies for at forhindre CSRF-angreb og brugersporing (ondsindet tredjeparts erhvervelse af cookies) samt for at begrænse tredjepartscookies, hvilket reducerer sikkerhedsrisici.

SameSite defineret i RFC6265bis:Hyperlink-login er synlig.

Om CSRF Attack Resumé:

ASP.NET CSRF-angreb Ajax-anmodning indkapsling
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax med AntiForgeryToken for at forhindre CSRF-angreb
https://www.itsvse.com/thread-4207-1-1.html

Analyser QQ Quick Login Protocol og implementer "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
SameSite-egenskaben kan sættes til tre værdier:Strict、Lax、Ingen

Streng: Forbyd strengt tredjepart at få adgang til cookies, og send ikke cookies under nogen omstændigheder, når der krydser sider; Cookies vil kun blive inkluderet, hvis URL'en på den aktuelle side matcher anmodningsmålet. Denne regel er for streng og kan give en meget dårlig brugeroplevelse. For eksempel, hvis der er et GitHub-link på den aktuelle webside, vil brugerne ikke have GitHub-cookies, når de klikker på springet, og hoppet har altid været aflogget ind.

Slap: Forhindre cross-site, i de fleste tilfælde er det forbudt at indhente cookies, undtagen for GET-forespørgsler (links, forudindlæsninger, GET-formularer), der navigerer til destinations-URL'en; Når Strict eller Lax er sat, elimineres CSRF-angreb stort set. Selvfølgelig forudsætter dette, at brugerbrowseren understøtter SameSite-egenskaben.

SameSite-attributtenDefault SameSite=Lax[Denne operation gælder for versioner efter, at Google udgiver Chrome 80 stablet version den 4. februar 2019]



Ingen: Der er ingen grænse.

Secure-attributten skal også sættes (cookies kan kun sendes over HTTPS-protokollen), ellers vil den ikke være gyldig. [Denne operation gælder for versioner efter, at Google udgiver Chrome 80 stablet version den 4. februar 2019]


Test SameSite-egenskaben

Vi indlæser dynamisk et billede af sted A gennem F12-konsollen på sted A, koden er som følger:

Vi kan se fra netværksanmodningen, at når sted A anmoder om et billede af domænenavnet for sted A, vil detBær småkager(SameSite har ingen indstillinger, dvs. Lax), som vist på billedet nedenfor:



Vi finder tilfældigt et B-sted, og så indlæser vi dynamisk billedet af A-stedet og finder detIkke medEnhver cookie, som vist nedenfor:



(Slut)





Tidligere:jQuery hide virker ikke to løsninger
Næste:Vinkelelement ngif skjult synlighed vises og skjules

Relaterede indlæg
Opslået den 17-04-2022 kl. 21:20:07 |
Lær at lære...
Ansvarsfraskrivelse:
Al software, programmeringsmaterialer eller artikler udgivet af Code Farmer Network er kun til lærings- og forskningsformål; Ovenstående indhold må ikke bruges til kommercielle eller ulovlige formål, ellers skal brugerne bære alle konsekvenser. Oplysningerne på dette site kommer fra internettet, og ophavsretstvister har intet med dette site at gøre. Du skal slette ovenstående indhold fuldstændigt fra din computer inden for 24 timer efter download. Hvis du kan lide programmet, så understøt venligst ægte software, køb registrering og få bedre ægte tjenester. Hvis der er nogen overtrædelse, bedes du kontakte os via e-mail.
Mail To:help@itsvse.com