Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Programmēšanas Tehniskā tērzēšana CSRF uzbrukumu novēršana sīkfaila īpašumam SameSite
Skats: 7822|Atbildi: 1

CSRF uzbrukumu novēršana sīkfaila īpašumam SameSite

[Kopēt saiti]
Publicēts 2022-4-17 20:24:47 | | | |
Īpašums SameSite

Sākot ar Chrome 51, pārlūkprogrammas sīkfailiem ir pievienots jauns SameSite atribūts, lai novērstu CSRF uzbrukumus un lietotāju izsekošanu (ļaunprātīgu trešo pušu sīkfailu iegūšanu) un ierobežotu trešo pušu sīkfailus, tādējādi samazinot drošības riskus.

SameSite definēts RFC6265bis:Hipersaites pieteikšanās ir redzama.

Par CSRF uzbrukuma kopsavilkumu:

ASP.NET CSRF uzbrukums Ajax pieprasījuma iekapsulēšana
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax ar AntiForgeryToken, lai novērstu CSRF uzbrukumus
https://www.itsvse.com/thread-4207-1-1.html

Analizējiet QQ ātrās pieteikšanās protokolu un ieviesiet "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
Rekvizītam SameSite var iestatīt trīs vērtības:Stingrs、Vājš、Nav

Stingri: Stingri aizliedziet trešajām personām iegūt sīkdatnes un nekādā gadījumā nesūtiet sīkdatnes, kad tās atrodas vairākās vietnēs; Sīkfaili tiks iekļauti tikai tad, ja pašreizējās lapas URL atbilst pieprasījuma mērķim. Šis noteikums ir pārāk stingrs un var izraisīt ļoti sliktu lietotāja pieredzi. Piemēram, ja pašreizējā tīmekļa lapā ir GitHub saite, lietotājiem nebūs GitHub sīkfailu, kad viņi noklikšķinās uz lēciena, un lēciens vienmēr ir bijis atteikšanās.

Lax: Novērst starpvietni, vairumā gadījumu ir aizliegts iegūt sīkdatnes, izņemot GET pieprasījumus (saites, iepriekšējas ielādes, GET veidlapas), kas pārvietojas uz galamērķa URL; Kad ir iestatīts Strict vai Lax, CSRF uzbrukumi būtībā tiek novērsti. Protams, tas ir ar nosacījumu, ka lietotāja pārlūkprogramma atbalsta SameSite īpašumu.

Atribūts SameSiteNoklusējuma SameSite=Lax[Šī darbība attiecas uz versijām pēc tam, kad Google izlaida Chrome 80 stabilo versiju 2019. gada 4. februārī]



Neviens: Nav ierobežojumu.

Ir jāiestata arī atribūts Secure (sīkdatnes var nosūtīt tikai ar HTTPS protokolu), pretējā gadījumā tas nebūs derīgs. [Šī darbība attiecas uz versijām pēc tam, kad Google izlaida Chrome 80 stabilo versiju 2019. gada 4. februārī]


Rekvizīta SameSite pārbaude

Mēs dinamiski ielādējam vietnes A attēlu, izmantojot F12 konsoli vietnē A, kods ir šāds:

No tīkla pieprasījuma mēs varam redzēt, ka, kad vietne A pieprasa vietnes A domēna nosaukuma attēlu, tas būsPārnēsājiet sīkdatnes(SameSite nav iestatījumu, t.i., Lax), kā parādīts zemāk redzamajā attēlā:



Mēs nejauši atrodam B vietni un pēc tam dinamiski ielādējam A vietnes attēlu un atrodam toNav nēsāšanasJebkurš sīkfails, kā parādīts zemāk:



(Beigas)





Iepriekšējo:jQuery paslēpt nedarbojas divi risinājumi
Nākamo:Leņķa elements ngif, ja tiek parādīta un paslēpta slēptā redzamība

Saistītās ziņas
Publicēts 2022-4-17 21:20:07 |
Iemācieties mācīties...
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com