今天在chrome浏览器中观察请求信息时发现了这样一个警告:
咦,看起来像是阻止了我的 cookie 发送。经过查询方知,原来谷歌为了防止CSRF攻击,已经逐步开始启用 SameSite 这个cookie属性,以更强制的手段来降低 CSRF 的风险。而这个特性从76版本后,就已经开始逐步加入到 chrome 稳定版当中了。我看了下自己的 chrome,赫,都已经 84版了,必然命中这个特性了。
咱们去chrome开发工具里看一下cookie的属性家族。哇看起来,cookie属性家族真是越来越庞大了:
SameSite 是干嘛的
我们来看下 sameSite 到底是个什么鬼东西。从MDN文档可以看到: samesite可以阻止浏览器在跨域请求里携带cookie。
在默认情况下,该属性的值是 Lax
,即松懈的意思,这个所谓的松懈相对于以前来说其实并不松懈,它是 只允许 GET 跨域请求携带
另外一个值是 strict
,即严格模式,严格标志将阻止cookie被浏览器发送到所有跨域目标网站,即使是常规的GET请求。
怎样绕过这个限制呢
虽然绕过是不安全的。但是有些场景是没有太严格的要求的,例如统计日志数据的 cgi。除了上述2个值之外,还可以将他声明为 none
。通过显式声明SameSite = None,开发人员仍然可以不受限制的使用跨域cookie。
浏览器支持情况
从Chrome 76开始,通过启用默认默认cookie标记,该功能将可用。从2020年7月14日开始,此功能将逐步向Stable用户推出。但MacOS上还有BUG(如果设置为none,效果会变成strict)。另外一个bug就是我自己电脑上加上samesite进行设置cookie是无效的,目前还不清楚原因,如果有大佬知道为啥不生效,还请希望大佬赐教。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。