Šis straipsnis yra veidrodinis mašininio vertimo straipsnis, spauskite čia norėdami pereiti prie originalaus straipsnio.

Architect_Programmer_Code žemės ūkio tinklas»Architektas Programavimo Techninis pokalbis Užkirsti kelią CSRF atakoms prieš slapuko "SameSite" nuosavybę
Rodinys: 7822|Atsakyti: 1

Užkirsti kelią CSRF atakoms prieš slapuko "SameSite" nuosavybę

[Kopijuoti nuorodą]
Paskelbta 2022-4-17 20:24:47 | | | |
Ypatybė SameSite

Pradedant nuo "Chrome 51", naršyklės slapukuose buvo pridėtas naujas "SameSite" atributas, siekiant užkirsti kelią CSRF atakoms ir naudotojų stebėjimui (kenkėjiškas trečiųjų šalių slapukų įsigijimas) ir apriboti trečiųjų šalių slapukus, taip sumažinant saugumo riziką.

SameSite apibrėžta RFC6265bis:Hipersaito prisijungimas matomas.

Apie CSRF ataka Apibendrinimas:

ASP.NET CSRF ataka Ajax užklausos inkapsuliavimas
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax su AntiForgeryToken, kad būtų išvengta CSRF atakų
https://www.itsvse.com/thread-4207-1-1.html

Išanalizuokite QQ greito prisijungimo protokolą ir įdiekite "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
Ypatybę SameSite galima nustatyti į tris reikšmes:Griežtas、Laisvas、Nėra

Griežtas: Griežtai uždrausti trečiosioms šalims gauti slapukus ir jokiomis aplinkybėmis nesiųsti slapukų, kai keliaujate į kitą svetainę; Slapukai bus įtraukti tik tuo atveju, jei dabartinio puslapio URL atitiks užklausos tikslą. Ši taisyklė yra per griežta ir gali sukelti labai blogą vartotojo patirtį. Pavyzdžiui, jei dabartiniame tinklalapyje yra "GitHub" nuoroda, vartotojai neturės "GitHub" slapukų, kai spustelės šuolį, o šuolis visada buvo atjungtas.

Lax: Užkirsti kelią kryžminėms svetainėms, daugeliu atvejų draudžiama gauti slapukus, išskyrus GET užklausas (nuorodas, išankstinius įkėlimus, GET formas), kurios nukreipia į paskirties URL; Nustačius griežtą arba atlaidų, CSRF atakos iš esmės pašalinamos. Žinoma, tai daroma su sąlyga, kad vartotojo naršyklė palaiko "SameSite" nuosavybę.

SameSite atributasNumatytasis SameSite=Lax[Ši operacija taikoma versijoms po to, kai "Google" išleis stabilią "Chrome 80" versiją 2019 m. vasario 4 d.]



Joks: Nėra jokių apribojimų.

Taip pat turi būti nustatytas atributas "Secure" (slapukai gali būti siunčiami tik per HTTPS protokolą), kitaip jis negalios. [Ši operacija taikoma versijoms po to, kai "Google" išleis stabilią "Chrome 80" versiją 2019 m. vasario 4 d.]


Patikrinkite ypatybę SameSite

Mes dinamiškai įkeliame svetainės A paveikslėlį per F12 konsolę svetainėje A, kodas yra toks:

Iš tinklo užklausos matome, kad kai svetainė A prašo svetainės A domeno vardo vaizdo, ji busNešiokite sausainius(SameSite neturi nustatymų, ty Lax), kaip parodyta paveikslėlyje žemiau:



Atsitiktinai randame B svetainę, tada dinamiškai įkeliame A svetainės paveikslėlį ir jį randameNenešiojamasBet koks slapukas, kaip parodyta toliau:



(Pabaiga)





Ankstesnis:jQuery paslėpti neveikia du sprendimai
Kitą:Kampinis elementas ngif paslėptas matomumas rodomas ir paslėptas

Susijusios žinutės
Publikuota: 2022-4-17 21:20:07 |
Išmokite mokytis...
Atsakomybės apribojimas:
Visa programinė įranga, programavimo medžiaga ar straipsniai, kuriuos skelbia Code Farmer Network, yra skirti tik mokymosi ir mokslinių tyrimų tikslams; Aukščiau nurodytas turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojai prisiima visas pasekmes. Šioje svetainėje pateikiama informacija gaunama iš interneto, o ginčai dėl autorių teisių neturi nieko bendra su šia svetaine. Turite visiškai ištrinti aukščiau pateiktą turinį iš savo kompiuterio per 24 valandas nuo atsisiuntimo. Jei jums patinka programa, palaikykite autentišką programinę įrangą, įsigykite registraciją ir gaukite geresnes autentiškas paslaugas. Jei yra kokių nors pažeidimų, susisiekite su mumis el. paštu.
Mail To:help@itsvse.com