Ez a cikk egy tükör gépi fordítás, kérjük, kattintson ide, hogy ugorjon az eredeti cikkre.

Architect_Programmer_Code Mezőgazdasági Hálózat»Építész Programozás Technikai beszélgetés Megelőzés CSRF támadásokat a süti SameSite tulajdonsága ellen
Nézet: 7822|Válasz: 1

Megelőzés CSRF támadásokat a süti SameSite tulajdonsága ellen

[Linket másol]
Közzétéve: 2022-4-17 20:24:47 | | | |
SameSite tulajdonság

A Chrome 51-től kezdve egy új SameSite attribútumot adtak hozzá a böngésző sütikhez, hogy megakadályozza a CSRF támadásokat és a felhasználói követést (rosszindulatú harmadik féltől származó sütikvásárlás), valamint korlátozza a harmadik féltől származó sütiket, ezzel csökkentve a biztonsági kockázatokat.

SameSite az RFC6265bis-ben definiálva:A hiperlink bejelentkezés látható.

A CSRF Attack összefoglalóról:

ASP.NET CSRF támadás Ajax kapszulációt kér
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax AntiForgeryToken-lel, hogy megakadályozza a CSRF támadásokat
https://www.itsvse.com/thread-4207-1-1.html

Elemezd a QQ gyors bejelentkezési protokollt és valósítsd meg a "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
A SameSite tulajdonság három értékre állítható:Strict、Lax、None

Szigorú: Szigorúan tiltja a harmadik feleknek a sütikhez való hozzáférését, és semmilyen körülmények között nem küld sütit, ha áthaladnak; A sütik csak akkor kerülnek be, ha az aktuális oldal URL-je megegyezik a kérés célpontjával. Ez a szabály túl szigorú, és nagyon rossz felhasználói élményt okozhat. Például, ha a jelenlegi weboldalon van GitHub link, a felhasználóknak nem lesznek GitHub sütikeik, amikor rákattintanak az ugrásra, és az ugrás mindig be volt kapcsolva.

Laza: A keresztoldalak közötti megelőzés megakadályozza, a legtöbb esetben tilos a sütik beszerzése, kivéve a GET kéréseket (linkek, előbetöltések, GET űrlapok), amelyek a cél URL-re navigálnak; Ha a Strict vagy Lax beállított, a CSRF támadások gyakorlatilag megszűnnek. Természetesen ez akkor van, ha a böngésző támogatja a SameSite tulajdonságot.

SameSite attribútumAlapértelmezett SameSite=Lax[Ez a művelet azokra a verziókra vonatkozik, amelyek a Google 2019. február 4-én kiadta a Chrome 80 stabil verziót]



Egyik sem: Nincs határ.

A Secure attribútumot is be kell állítani (a cookie-kat csak az HTTPS protokollon keresztül lehet küldeni), különben nem lesz érvényes. [Ez a művelet azokra a verziókra vonatkozik, amelyek a Google 2019. február 4-én kiadta a Chrome 80 stabil verziót]


Tesztelje a SameSite tulajdonságot

Dinamikusan töltünk be egy képet az A helyszínről az F12 konzolon keresztül az A helyszínen, a kód a következő:

A hálózati kérésből láthatjuk, hogy amikor az A oldal képet kér az A oldal domain nevéről, akkorSütiket hordj(A SameSite-nek nincs beállítása, azaz Lax), ahogy az alábbi képen is látható:



Véletlenszerűen találunk egy B helyet, majd dinamikusan töltjük be az A hely képét, és megtaláljukNem hordozBármilyen süti az alábbiakban:



(Vége)





Előző:a jQuery hide nem működik, két megoldás
Következő:Szögelem ngif rejtett láthatóság jelenik meg és rejtve van

Kapcsolódó bejegyzések
Közzétéve: 2022-4-17 21:20:07 |
Tanulj meg...
Lemondás:
A Code Farmer Network által közzétett összes szoftver, programozási anyag vagy cikk kizárólag tanulási és kutatási célokra szolgál; A fenti tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználók viselik az összes következményet. Az oldalon található információk az internetről származnak, és a szerzői jogi vitáknak semmi köze ehhez az oldalhoz. A fenti tartalmat a letöltés után 24 órán belül teljesen törölni kell a számítógépéről. Ha tetszik a program, kérjük, támogassa a valódi szoftvert, vásároljon regisztrációt, és szerezzen jobb hiteles szolgáltatásokat. Ha bármilyen jogsértés történik, kérjük, vegye fel velünk a kapcsolatot e-mailben.
Mail To:help@itsvse.com