SameSite Cookie

SameSite是浏览器针对Cookie的一种安全属性,主要用于防御CSRF攻击和控制跨站Cookie的发送行为,它的核心是告诉浏览器:在什么情况下允许跨站点请求携带当前Cookie

1.SameSite 的三种模式

(1)SameSite=Strict(严格模式)

  • 行为

    Cookie 仅限同站请求 (即完全一致的域名)携带,任何跨站请求均不发送

  • 适用场景

    高敏感操作(如银行转账、修改密码),确保请求绝对来自本站。

  • 示例

    http

    ini 复制代码
    Set-Cookie: sessionId=abc123; SameSite=Strict; Secure
    • 用户从 https://social.com 点击链接到 https://bank.com,浏览器 不会携带 bank.com 的 Cookie

(2)SameSite=Lax(宽松模式,默认值)

  • 行为
    • 允许安全的跨站GET请求(如导航跳转,预加载)携带cookie
    • 阻止跨站POST请求,ifram嵌入等非安全请求携带Cookie
  • 适用场景
    大多数网站:平衡安全性和用户体验
  • 示例: Set-Cookie: sessionId=abc123; SameSite=Lax; Secure
markdown 复制代码
-   用户从 `https://news.com` 点击链接到 `https://shop.com`,浏览器 **会携带 Cookie**。
markdown 复制代码
-   但如果是 `news.com` 向 `shop.com` 发起 AJAX POST 请求,**不会携带 Cookie**。

(3)SameSite=None(禁用限制)

  • 行为

    Cookie 允许所有跨站请求携带 ,但必须同时设置 Secure(仅限 HTTPS)。

  • 适用场景

    需要跨站共享 Cookie 的第三方服务(如嵌入的支付按钮、跨站单点登录)。

  • 示例

    http

    ini 复制代码
    Set-Cookie: widget_session=xyz; SameSite=None; Secure
    • 用户访问 https://site-a.com 时,内嵌的 https://site-b.com 的 iframe 可以携带 Cookie。

2. SameSite 如何防御 CSRF 攻击?

CSRF 攻击原理

攻击者诱导用户在已登录的网站(如 bank.com)发起恶意请求(如转账):

html

xml 复制代码
<!-- 恶意网站 evil.com 的代码 -->
<form action="https://bank.com/transfer" method="POST">
  <input type="hidden" name="to" value="attacker">
  <input type="hidden" name="amount" value="1000">
</form>
<script>document.forms[0].submit();</script>

如果用户已登录 bank.com,浏览器会自动携带 Cookie,请求成功。

SameSite 的防护

  • bank.com 的 Cookie 设置为 SameSite=LaxStrict

    • 跨站 POST 请求 不会携带 Cookie,攻击失效。
  • SameSite=None 的 Cookie 仍需配合 CSRF Token 防护。

相关推荐
Kevin Wang7271 小时前
解除chrome中http无法录音问题,权限
前端·chrome
vipbic1 小时前
使用Cursor开发Strapi5插件bag-strapi-plugin
前端·ai编程·cursor
专注前端30年1 小时前
【JavaScript】reduce 方法的详解与实战
开发语言·前端·javascript
ikoala1 小时前
Node.js 25 正式发布:性能飙升、安全升级、全面向 Web 靠拢!
前端·面试·node.js
陈振wx:zchen20081 小时前
前端-ES6-11
前端·es6
菜鸟una2 小时前
【瀑布流大全】分析原理及实现方式(微信小程序和网页都适用)
前端·css·vue.js·微信小程序·小程序·typescript
专注前端30年2 小时前
2025 最新 Vue2/Vue3 高频面试题(10月最新版)
前端·javascript·vue.js·面试
文火冰糖的硅基工坊3 小时前
[嵌入式系统-146]:五次工业革命对应的机器人形态的演进、主要功能的演进以及操作系统的演进
前端·网络·人工智能·嵌入式硬件·机器人
2401_837088503 小时前
ResponseEntity - Spring框架的“标准回复模板“
java·前端·spring
yaoganjili3 小时前
用 Tinymce 打造智能写作
前端