samesite不起作用是怎么回事?

code_sir
  • 459

问题描述

想通过samesite防止csrf攻击,但是写了个demo,cookie始终能别拿到。

问题出现的环境背景及自己尝试过哪些方法

我启动了两个网站,端口分别是3001和3002,3001设置cookie,3002请求3001的服务。
3001的cookie设置了samesite为strict,但是3002发出的请求仍能拿到cookie。

相关代码

开发语言nodejs,框架express,chrome浏览器

// 3001代码

app.get("/main", (req, res) => {
  res.cookie("name", "wenmu", { sameSite: "strict" });
  res.set({ "Content-Type": "text/html" });
  res.sendFile("main.html", { root: __dirname });
});

app.get("/setVal", (req, res) => {
  console.log(req.headers.cookie);
  console.log(req.headers.referer);
  res.send([req.headers.referer, req.headers.cookie]);
});

app.listen(3001, () => {
  console.log("app start on port 3001");
});

//3002代码

<a href="http://localhost:3001/setVal">百元大奖</a>

期待的结果

点击“百元大奖”发出的请求,服务端接收到请求后不应该携带cookie。

回复
阅读 5.9k
1 个回答

samesite并不遵循同源策略,而是Public Suffix List
所以不同端口号、不同子域名都被认为是同站

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏