Cookie SameSite
Qu'est-ce que Cookie SameSite ?
Cookie SameSiteAttribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.
L'attribut « SameSite » dans un en-tête « Set-Cookie » indique au navigateur quand le cookie peut être envoyé pour des requêtes émanant d'un autre site. « Strict » le retient sur toute navigation ou sous-requête inter-sites, « Lax » (désormais valeur par défaut dans la plupart des navigateurs) ne l'envoie que sur les navigations top-level GET, et « None » l'autorise partout mais exige « Secure ». Configurer les cookies en « Lax » ou « Strict » est l'une des mitigations les plus efficaces contre le CSRF et réduit la surface de pistage. Les cookies d'authentification et de session devraient en général être « Lax » (ou « Strict » pour les flux sensibles), associés à « HttpOnly » et « Secure » et à des jetons CSRF pour les requêtes modifiant l'état.
● Exemples
- 01
« Set-Cookie: session=abc; Secure; HttpOnly; SameSite=Lax; Path=/ ».
- 02
Un iframe de paiement embarqué requiert « SameSite=None; Secure » pour envoyer le cookie en contexte inter-sites.
● Questions fréquentes
Qu'est-ce que Cookie SameSite ?
Attribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Cookie SameSite ?
Attribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.
Comment se défendre contre Cookie SameSite ?
Les défenses contre Cookie SameSite combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Cookie SameSite ?
Noms alternatifs courants : Attribut SameSite.