今天在chrome浏览器中观察请求信息时发现了这样一个警告:
image.png

咦,看起来像是阻止了我的 cookie 发送。经过查询方知,原来谷歌为了防止CSRF攻击,已经逐步开始启用 SameSite 这个cookie属性,以更强制的手段来降低 CSRF 的风险。而这个特性从76版本后,就已经开始逐步加入到 chrome 稳定版当中了。我看了下自己的 chrome,赫,都已经 84版了,必然命中这个特性了。

咱们去chrome开发工具里看一下cookie的属性家族。哇看起来,cookie属性家族真是越来越庞大了:
image.png

SameSite 是干嘛的

我们来看下 sameSite 到底是个什么鬼东西。从MDN文档可以看到: samesite可以阻止浏览器在跨域请求里携带cookie。

在默认情况下,该属性的值是 Lax,即松懈的意思,这个所谓的松懈相对于以前来说其实并不松懈,它是 只允许 GET 跨域请求携带

另外一个值是 strict,即严格模式,严格标志将阻止cookie被浏览器发送到所有跨域目标网站,即使是常规的GET请求。

怎样绕过这个限制呢

虽然绕过是不安全的。但是有些场景是没有太严格的要求的,例如统计日志数据的 cgi。除了上述2个值之外,还可以将他声明为 none。通过显式声明SameSite = None,开发人员仍然可以不受限制的使用跨域cookie。

浏览器支持情况

从Chrome 76开始,通过启用默认默认cookie标记,该功能将可用。从2020年7月14日开始,此功能将逐步向Stable用户推出。但MacOS上还有BUG(如果设置为none,效果会变成strict)。另外一个bug就是我自己电脑上加上samesite进行设置cookie是无效的,目前还不清楚原因,如果有大佬知道为啥不生效,还请希望大佬赐教。


sheldon
947 声望1.6k 粉丝

echo sheldoncui