Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Programiranje Tehnični pogovor Preprečite napade CSRF na lastnost SameSite piškotka
Pogled: 7822|Odgovoriti: 1

Preprečite napade CSRF na lastnost SameSite piškotka

[Kopiraj povezavo]
Objavljeno 17. 4. 2022 20:24:47 | | | |
Lastnost SameSite

Od Chrome 51 naprej je bil v piškotke brskalnika dodan nov atribut SameSite, ki preprečuje napade CSRF in sledenje uporabnikom (zlonamerno pridobivanje piškotkov s strani tretjih oseb) ter omejuje piškotke tretjih oseb, s čimer zmanjšuje varnostna tveganja.

SameSite, definiran v RFC6265bis:Prijava do hiperpovezave je vidna.

O CSRF Attack Recap:

ASP.NET CSRF napad Ajax zahteva enkapsulacijo
https://www.itsvse.com/thread-8077-1-1.html

mvc ajax z AntiForgeryTokenom za preprečevanje napadov CSRF
https://www.itsvse.com/thread-4207-1-1.html

Analizirajte QQ protokol za hitro prijavo in implementirajte "CSRF"
https://www.itsvse.com/thread-3571-1-1.html
Lastnost SameSite lahko nastavimo na tri vrednosti:Strogo、Lax、Brez

Strogo: Strogo prepovedujte tretjim osebam pridobivanje piškotkov in ne pošiljajte piškotkov pod nobenim pogojem, ko greste med spletnimi stranmi; Piškotki bodo vključeni le, če se URL trenutne strani ujema s ciljno zahtevo. To pravilo je preveč strogo in lahko povzroči zelo slabo uporabniško izkušnjo. Na primer, če je na trenutni spletni strani GitHub povezava, uporabniki ob kliku na skok ne bodo imeli GitHub piškotkov, preskok pa je bil vedno odkrit.

Ohlapna: Preprečite cross-site, v večini primerov je pridobivanje piškotkov prepovedano, razen za GET zahteve (povezave, prednaložitve, GET obrazce), ki vodijo do ciljnega URL-ja; Ko je določena stroga ali sproščena, so CSRF napadi praktično odpravljeni. Seveda je to pod pogojem, da uporabniški brskalnik podpira lastnost SameSite.

Atribut SameSitePrivzeto SameSite=Lax[Ta operacija velja za različice po izdaji stabilne različice Chrome 80 4. februarja 2019]



Nobena: Ni omejitev.

Atribut Secure je prav tako nastavljen (piškotke je mogoče pošiljati le prek protokola HTTPS), sicer ne bo veljaven. [Ta operacija velja za različice po izdaji stabilne različice Chrome 80 4. februarja 2019]


Preizkusite lastnost SameSite

Dinamično naložimo sliko lokacije A preko F12 konzole na lokaciji A, koda je naslednja:

Iz omrežne zahteve lahko vidimo, da ko lokacija A zahteva sliko domene strani A, boNosite piškotke(SameSite nima nastavitev, tj. Lax), kot je prikazano na spodnji sliki:



Naključno najdemo stran B, nato pa dinamično naložimo sliko lokacije A in jo najdemoNe prenašaVsak piškotek, kot je prikazano spodaj:



(Konec)





Prejšnji:jQuery hide ne deluje, dve rešitvi
Naslednji:Prikazana in skrita vidnost kotnega elementa ngif je prikazana in skrita

Sorodne objave
Objavljeno 2022-4-17 21:20:07 |
Nauči se učiti...
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com