この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。

Architect_Programmer_Code農業ネットワーク»建築家 プログラミング 技術チャット クッキーのSameSiteプロパティに対するCSRF攻撃を防ぐ
眺める: 7822|答える: 1

クッキーのSameSiteプロパティに対するCSRF攻撃を防ぐ

[リンクをコピー]
2022年4月17日 20:24:47に投稿 | | | |
SameSiteの所有権

Chrome 51以降、CSRF攻撃やユーザー追跡(悪意ある第三者によるクッキー取得)を防ぎ、サードパーティクッキーを制限することでセキュリティリスクを軽減するために、ブラウザのクッキーに新しいSameSite属性が追加されました。

SameSiteはRFC6265bisで定義されています:ハイパーリンクのログインが見えます。

CSRF攻撃概要:

ASP.NET CSRF 攻撃 Ajax 要求カプセル化
https://www.itsvse.com/thread-8077-1-1.html

CSRF攻撃を防ぐためにAntiForgeryTokenを用いたmvc ajax
https://www.itsvse.com/thread-4207-1-1.html

QQクイックログインプロトコルを分析し、「CSRF」を実装する
https://www.itsvse.com/thread-3571-1-1.html
SameSiteプロパティは以下の3つの値を設定できます:厳格、緩やか、なし

厳しい:第三者によるクッキーの取得を厳しく禁止し、クロスサイト間ではいかなる状況でもクッキーを送信しません。 クッキーは、現在のページのURLがリクエスト対象と一致している場合にのみ含まれます。 このルールは厳しすぎて、ユーザー体験が非常に悪くなる可能性があります。 例えば、現在のウェブページにGitHubリンクがある場合、ユーザーはジャンプをクリックしたときにGitHubクッキーを持たず、ジャンプは常に未ログインのままです。

: クロスサイトを禁止します。ほとんどの場合、クッキーの取得は禁止されていますが、目的地URLに向かうGETリクエスト(リンク、プリロード、GETフォーム)を除きます。 一度厳格か緩めが設定されると、CSRF攻撃はほぼ排除されます。 もちろん、これはユーザーブラウザがSameSiteプロパティをサポートしていることを前提にしています。

SameSite属性デフォルト SameSite=lax[この操作は、Googleが2019年2月4日にChrome 80安定版をリリースした後のバージョンに適用されます]



何一つ:限界はない。

Secure属性も設定しなければならず(クッキーはHTTPSプロトコル経由でしか送信できません)、そうでなければ有効とは言えません。 [この操作は、Googleが2019年2月4日にChrome 80安定版をリリースした後のバージョンに適用されます]


SameSiteの物件をテスト

F12コンソールを通じてサイトAの画像を動的に読み込みます。コードは以下の通りです:

ネットワークリクエストから、サイトAがサイトAのドメイン名画像を要求すると、クッキーを持ち歩く(SameSiteには設定がなく、つまりLaxがありません)、下の画像に示されています:



ランダムにBサイトを見つけ、その画像を動的に読み込んで見つけますキャリーはしていません以下に示すような任意のクッキー:



(終わり)





先の:jQuery隠しは2つの解決策で機能しません
次に:角度要素ngifは隠された可視性を表示し、隠されています。

関連記事
2022年4月17日 21:20:07 に投稿 |
学ぶことを...
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com