세이언사이트 자산
Chrome 51부터는 CSRF 공격과 사용자 추적(악의적인 제3자 쿠키 획득)을 방지하고 제3자 쿠키를 제한하여 보안 위험을 줄이기 위해 브라우저 쿠키에 새로운 SameSite 속성이 추가되었습니다.
RFC6265bis에서 정의된 SameSite:하이퍼링크 로그인이 보입니다.
CSRF 공격 요약 소개:
SameSite 속성은 세 가지 값으로 설정할 수 있습니다:엄격, 슬랙스, 없음。
엄격한: 제3자가 쿠키를 획득하는 것을 엄격히 금지하며, 크로스사이트 간 어떠한 경우에도 쿠키를 보내지 않습니다; 쿠키는 현재 페이지의 URL이 요청 대상과 일치할 때만 포함됩니다. 이 규칙은 너무 엄격해서 사용자 경험이 매우 나빠질 수 있습니다. 예를 들어, 현재 웹페이지에 GitHub 링크가 있으면 사용자가 클릭 시 GitHub 쿠키를 갖지 못하고, 점프는 항상 로그인되지 않은 상태입니다.
La 공항: 사이트 간 차단, 대부분의 경우 쿠키 획득이 금지되어 있으며, 목적지 URL로 이동하는 GET 요청(링크, 프리로드, GET 폼)을 제외하고; Strict나 Lax가 설정되면 CSRF 공격은 사실상 사라집니다. 물론, 이는 사용자 브라우저가 SameSite 속성을 지원한다는 전제 하에 가능합니다.
SameSite 속성기본 SameSite=lax[이 작업은 2019년 2월 4일 구글이 크롬 80 안정 버전을 출시한 이후의 버전에 적용됩니다]
없음: 한계는 없어.
Secure 속성도 설정되어야 하며(쿠키는 HTTPS 프로토콜을 통해서만 전송할 수 있음), 그렇지 않으면 유효하지 않습니다. [이 작업은 2019년 2월 4일 구글이 크롬 80 안정 버전을 출시한 이후의 버전에 적용됩니다]
SameSite 부동산 테스트
F12 콘솔을 통해 사이트 A의 이미지를 동적으로 불러오는데, 코드는 다음과 같습니다:
네트워크 요청에서 사이트 A가 사이트 A의 도메인 이미지를 요청할 때 다음과 같이 요청할 수 있습니다쿠키 소지(SameSite에는 설정이 없으며, 즉 Lax가 있습니다), 아래 이미지에서 볼 수 있습니다:
무작위로 B 사이트를 찾고, 그 사진을 동적으로 불러와서 찾아냅니다휴대하지 않음아래에 보이는 어떤 쿠키든:
(끝)
|
2022-4-17 20:24:47에 게시됨
|
|
|
|
2022-4-17 21:20:07에 게시됨