Bu makale makine çevirisi ayna makalesidir, orijinal makaleye geçmek için lütfen buraya tıklayın.

Architect_Programmer_Code Tarım Ağı»Mimar Programlama Teknik sohbet Çerezin SameSite özelliğine yönelik CSRF saldırılarını önleyin
Görünüm: 7822|Yanıt: 1

Çerezin SameSite özelliğine yönelik CSRF saldırılarını önleyin

[Bağlantıyı kopyala]
2022-4-17 tarihinde 20:24:47 tarihinde yayınlandı | | | |
SameSite mülkü

Chrome 51 ile başlayarak, tarayıcının çerezlerine CSRF saldırılarını ve kullanıcı takibi (kötü niyetli üçüncü taraf çerezleri edinmesi) önlemek ve üçüncü taraf çerezleri sınırlamak için yeni bir SameSite özelliği eklendi; böylece güvenlik riskleri azaltıldı.

RFC6265bis'te tanımlanan SameSite:Bağlantı girişi görünür.

CSRF Saldırı Özeti Hakkında:

ASP.NET CSRF saldırısı Ajax kapsülleme talep ediyor
https://www.itsvse.com/thread-8077-1-1.html

CSRF saldırılarını önlemek için AntiForgeryToken ile mvc ajax
https://www.itsvse.com/thread-4207-1-1.html

QQ Hızlı Giriş Protokolünü Analiz Edin ve "CSRF" Uygulayın
https://www.itsvse.com/thread-3571-1-1.html
SameSite özelliği üç değere ayarlanabilir:Strict、Lax、None

Sıkı: Üçüncü şahsların çerezler edinmesini kesin olarak yasaklar ve çapraz siteler sırasında hiçbir koşulda çerez göndermezler; Çerezler yalnızca mevcut sayfanın URL'si talep hedefiyle eşleşiyorsa dahil edilecektir. Bu kural çok katı ve çok kötü bir kullanıcı deneyimine yol açabilir. Örneğin, mevcut web sayfasında bir GitHub bağlantısı varsa, kullanıcılar atlamaya tıkladıklarında GitHub çerezlerine sahip olmaz ve atlama her zaman açılmamış olur.

Gevşek: Çapraz siteyi önlemek, çoğu durumda GET istekleri (bağlantılar, ön yüklemeler, GET formları) dışında hedef URL'ye yönlendirilen GET isteği dışında; Strict veya Lax ayarlandıktan sonra, CSRF saldırıları temelde ortadan kaldırılır. Elbette, kullanıcı tarayıcısı SameSite özelliğini desteklediği koşuluyla bu durum şudur.

SameSite özniteliğiVarsayılan SameSite=Lax[Bu işlem, Google'ın Chrome 80 kararlı sürümünü 4 Şubat 2019'da yayınladıktan sonraki sürümler için geçerlidir]



Hiç kimse: Sınır yok.

Secure özniteliği de ayarlanmalıdır (çerezler yalnızca HTTPS protokolü üzerinden gönderilebilir), aksi takdirde geçerli olmaz. [Bu işlem, Google'ın Chrome 80 kararlı sürümünü 4 Şubat 2019'da yayınladıktan sonraki sürümler için geçerlidir]


SameSite özelliğini test et

F12 konsolu üzerinden A alanının fotoğrafını dinamik olarak yüklüyoruz, kod şöyle:

Ağ talebinden, site A'nın alan adı için bir görüntü talep ettiğinde, A sitesininKurabiye taşıyın(SameSite'ın ayarı yok, yani Lax), aşağıdaki görselde gösterildiği gibi:



Rastgele bir B sitesi buluyoruz, sonra dinamik olarak A sitesinin resmini yüklüyoruz ve buluyoruzTaşımamakAşağıda gösterildiği gibi herhangi bir kurabiye:



(Son)





Önceki:jQuery hide çalışmıyor İki çözüm
Önümüzdeki:Açısal eleman ngif gizli görünürlük gösterilir ve gizli olur

İlgili Yazılar
2022-4-17 tarihinde 21:20:07 tarihinde yayınlandı |
Öğrenmeyi öğren...
Feragatname:
Code Farmer Network tarafından yayımlanan tüm yazılım, programlama materyalleri veya makaleler yalnızca öğrenme ve araştırma amaçları içindir; Yukarıdaki içerik ticari veya yasa dışı amaçlarla kullanılamaz, aksi takdirde kullanıcılar tüm sonuçları ödemelidir. Bu sitedeki bilgiler internetten alınmakta olup, telif hakkı anlaşmazlıklarının bu siteyle hiçbir ilgisi yoktur. Yukarıdaki içeriği indirmeden sonraki 24 saat içinde bilgisayarınızdan tamamen silmelisiniz. Programı beğendiyseniz, lütfen orijinal yazılımı destekleyin, kayıt satın alın ve daha iyi orijinal hizmetler alın. Herhangi bir ihlal olursa, lütfen bizimle e-posta yoluyla iletişime geçin.
Mail To:help@itsvse.com