SameSite-Cookie
Was ist SameSite-Cookie?
SameSite-CookieCookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.
Das 'SameSite'-Attribut im 'Set-Cookie'-Header sagt dem Browser, wann das Cookie bei Anfragen von einer anderen Site gesendet werden darf. 'Strict' hält es bei jeder cross-site Navigation und Sub-Anfrage zurück, 'Lax' (heute Standard in den meisten Browsern) sendet es nur bei Top-Level-GET-Navigationen, 'None' erlaubt es in allen Kontexten, verlangt aber 'Secure'. 'Lax' oder 'Strict' zu setzen ist eine der wirksamsten Maßnahmen gegen CSRF und reduziert Tracking. Authentifizierungs- und Session-Cookies sollten in der Regel 'Lax' (bei sensiblen Flüssen 'Strict') sein, kombiniert mit 'HttpOnly' und 'Secure' sowie expliziten CSRF-Tokens für zustandsändernde Requests.
● Beispiele
- 01
'Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/'.
- 02
Eingebetteter Payment-Iframe braucht 'SameSite=None; Secure', damit das Cookie im Cross-Site-Kontext mitgeht.
● Häufige Fragen
Was ist SameSite-Cookie?
Cookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet SameSite-Cookie?
Cookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.
Wie schützt man sich gegen SameSite-Cookie?
Schutzmaßnahmen gegen SameSite-Cookie kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SameSite-Cookie?
Übliche alternative Bezeichnungen: SameSite-Attribut.