Tämä artikkeli on konekäännöksen peiliartikkeli, klikkaa tästä siirtyäksesi alkuperäiseen artikkeliin.

Architect_Programmer_Code Maatalousverkosto»Arkkitehti Ohjelmointi Tekninen keskustelu Estä CSRF-hyökkäykset evästeen SameSite-ominaisuuteen
Näkymä: 7822|Vastaus: 1

Estä CSRF-hyökkäykset evästeen SameSite-ominaisuuteen

[Kopioi linkki]
Julkaistu 2022-4-17 20:24:47 | | | |
SameSite-ominaisuus

Chrome 51:stä alkaen selaimen evästeisiin on lisätty uusi SameSite-attribuutti, joka estää CSRF-hyökkäykset ja käyttäjäseurannan (haitallinen kolmannen osapuolen evästeiden hankinta) sekä rajoittaa kolmannen osapuolen evästeitä, mikä vähentää turvallisuusriskejä.

SameSite määritelty RFC6265bis:ssä:Hyperlinkin kirjautuminen on näkyvissä.

Tietoa CSRF Attack -yhteenveto:

ASP.NET CSRF-hyökkäys Ajax pyytää kapselointia
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax AntiForgeryTokenilla CSRF-hyökkäysten estämiseksi
https://www.itsvse.com/thread-4207-1-1.html

Analysoi QQ Quick Login -protokolla ja toteuta "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
SameSite-ominaisuudelle voidaan asettaa kolme arvoa:Strict、Lax、None

Tiukka: Kieltävät tiukasti kolmansia osapuolia saamasta evästeitä, eikä lähetä evästeitä missään olosuhteissa, kun ne ovat sivuilla; Evästeet sisällytetään vain, jos nykyisen sivun URL vastaa pyyntökohdetta. Tämä sääntö on liian tiukka ja voi aiheuttaa erittäin huonon käyttäjäkokemuksen. Esimerkiksi, jos nykyisellä verkkosivulla on GitHub-linkki, käyttäjillä ei ole GitHub-evästeitä hyppyn klikkaamisen yhteydessä, ja hyppy on aina ollut poiskirjautuneena.

Löysä: Estää sivustojen väliset yhteydet, useimmissa tapauksissa evästeiden hakeminen on kiellettyä, paitsi GET-pyynnöt (linkit, esilataukset, GET-lomakkeet), jotka ohjaavat kohde-URL-osoitteeseen; Kun Strict tai Lax on asetettu, CSRF-hyökkäykset käytännössä eliminoidaan. Tämä tietenkin edellyttää, että käyttäjän selain tukee SameSite-ominaisuutta.

SameSite-attribuuttiOletus SameSite=Lax[Tämä toimenpide koskee versioita sen jälkeen, kun Google on julkaissut Chrome 80:n vakaan version 4. helmikuuta 2019]



Ei lainkaan: Ei ole rajaa.

Secure-attribuutti täytyy myös asettaa (evästeitä voi lähettää vain HTTPS-protokollan kautta), muuten se ei ole kelvollinen. [Tämä toimenpide koskee versioita sen jälkeen, kun Google on julkaissut Chrome 80:n vakaan version 4. helmikuuta 2019]


Testaa SameSite-ominaisuutta

Lataamme dynaamisesti kuvan pisteestä A F12-konsolin kautta pisteessä A, koodi on seuraava:

Voimme nähdä verkkopyynnöstä, että kun sivusto A pyytää kuvaa sivuston A verkkotunnuksesta, seKanna keksejä(SameSite-sivustolla ei ole asetuksia, eli Lax), kuten alla olevassa kuvassa näkyy:



Löydämme satunnaisesti B-paikan ja lataamme sitten dynaamisesti A-sivuston kuvan ja löydämme senEi kantamistaMikä tahansa keksi, kuten alla on esitetty:



(Loppu)





Edellinen:jQuery hide ei toimi, kaksi ratkaisua
Seuraava:Kulmaelementti ngif piilotettu näkyvyys näytetään ja piilotetaan

Aiheeseen liittyvät julkaisut
Julkaistu 2022-4-17 klo 21:20:07 |
Opettele oppimaan...
Vastuuvapauslauseke:
Kaikki Code Farmer Networkin julkaisemat ohjelmistot, ohjelmamateriaalit tai artikkelit ovat tarkoitettu vain oppimis- ja tutkimustarkoituksiin; Yllä mainittua sisältöä ei saa käyttää kaupallisiin tai laittomiin tarkoituksiin, muuten käyttäjät joutuvat kantamaan kaikki seuraukset. Tämän sivuston tiedot ovat peräisin internetistä, eikä tekijänoikeuskiistat liity tähän sivustoon. Sinun tulee poistaa yllä oleva sisältö kokonaan tietokoneeltasi 24 tunnin kuluessa lataamisesta. Jos pidät ohjelmasta, tue aitoa ohjelmistoa, osta rekisteröityminen ja hanki parempia aitoja palveluita. Jos rikkomuksia ilmenee, ota meihin yhteyttä sähköpostitse.
Mail To:help@itsvse.com