SameSite Cookie

SameSite是浏览器针对Cookie的一种安全属性,主要用于防御CSRF攻击和控制跨站Cookie的发送行为,它的核心是告诉浏览器:在什么情况下允许跨站点请求携带当前Cookie

1.SameSite 的三种模式

(1)SameSite=Strict(严格模式)

  • 行为

    Cookie 仅限同站请求 (即完全一致的域名)携带,任何跨站请求均不发送

  • 适用场景

    高敏感操作(如银行转账、修改密码),确保请求绝对来自本站。

  • 示例

    http

    ini 复制代码
    Set-Cookie: sessionId=abc123; SameSite=Strict; Secure
    • 用户从 https://social.com 点击链接到 https://bank.com,浏览器 不会携带 bank.com 的 Cookie

(2)SameSite=Lax(宽松模式,默认值)

  • 行为
    • 允许安全的跨站GET请求(如导航跳转,预加载)携带cookie
    • 阻止跨站POST请求,ifram嵌入等非安全请求携带Cookie
  • 适用场景
    大多数网站:平衡安全性和用户体验
  • 示例: Set-Cookie: sessionId=abc123; SameSite=Lax; Secure
markdown 复制代码
-   用户从 `https://news.com` 点击链接到 `https://shop.com`,浏览器 **会携带 Cookie**。
markdown 复制代码
-   但如果是 `news.com` 向 `shop.com` 发起 AJAX POST 请求,**不会携带 Cookie**。

(3)SameSite=None(禁用限制)

  • 行为

    Cookie 允许所有跨站请求携带 ,但必须同时设置 Secure(仅限 HTTPS)。

  • 适用场景

    需要跨站共享 Cookie 的第三方服务(如嵌入的支付按钮、跨站单点登录)。

  • 示例

    http

    ini 复制代码
    Set-Cookie: widget_session=xyz; SameSite=None; Secure
    • 用户访问 https://site-a.com 时,内嵌的 https://site-b.com 的 iframe 可以携带 Cookie。

2. SameSite 如何防御 CSRF 攻击?

CSRF 攻击原理

攻击者诱导用户在已登录的网站(如 bank.com)发起恶意请求(如转账):

html

xml 复制代码
<!-- 恶意网站 evil.com 的代码 -->
<form action="https://bank.com/transfer" method="POST">
  <input type="hidden" name="to" value="attacker">
  <input type="hidden" name="amount" value="1000">
</form>
<script>document.forms[0].submit();</script>

如果用户已登录 bank.com,浏览器会自动携带 Cookie,请求成功。

SameSite 的防护

  • bank.com 的 Cookie 设置为 SameSite=LaxStrict

    • 跨站 POST 请求 不会携带 Cookie,攻击失效。
  • SameSite=None 的 Cookie 仍需配合 CSRF Token 防护。

相关推荐
超浪的晨7 分钟前
JavaWeb 进阶:Vue.js 与 Spring Boot 全栈开发实战(Java 开发者视角)
java·开发语言·前端·javascript·vue.js·html·个人开发
开开心心就好27 分钟前
PDF转图片工具,一键转换高清无损
服务器·前端·智能手机·r语言·pdf·excel·batch
Java手札1 小时前
安装如下依赖(package.json 未包含):vueelement-plusecharts@element-plus/icons-vue
前端·javascript·vue.js
EndingCoder1 小时前
Three.js + AI:结合 Stable Diffusion 生成纹理贴图
开发语言·前端·javascript·人工智能·stable diffusion·ecmascript·three.js
haruma sen1 小时前
VUE前端
前端
汪叽家的兔子羡1 小时前
vue模块化导入
前端·javascript·vue.js·typescript·vue3·vue2·vite
植物系青年1 小时前
300 行代码!手把手教你写一个简版 Vue3 框架 📣
前端·vue.js
秉承初心1 小时前
Vue3与ES6+的现代化开发实践(AI)
前端·vue.js·es6
Spirited_Away1 小时前
脚手架开发之多包管理(npm, yarn, pnpm workspaces)
前端·面试
iaku1 小时前
🔥React高级特性实战:错误边界、Portals与Refs进阶
前端·react.js·trae